改訂の背景

進化し続けれるサイバー攻撃は巧妙化しており、しかもサイレント攻撃で気づかないうちに機密情報が盗まれるというケースが相次いています。
しかも、国家レベルでも行なわれており、防御する側の対策も難しくなっています。
こうした状況を踏まえて、同省は、IPAと協力してガイドラインを改訂を行なったとのことです。

改訂の背景としては、同省ウェブページに以下のとおり書かれております。

昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にあります。一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっています。

こうした状況を踏まえ、経済産業省は、IPAと協力し「サイバーセキュリティ経営ガイドライン改訂に関する研究会」を開催しました。そこでの検討を踏まえ、今般、事後対策の追加などを含めた、サイバーセキュリティ経営ガイドラインの改訂を行いました。

改訂のポイント

改訂のポイントは、以下の通りです。同省ウェブページより

• 有識者やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行いました。
• 経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施しました。
• 「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制についての記載を行いました。
• 「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」についての記載を行いました。
• 「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目の整理を行いました。
• 付録Aに、米国国立標準技術研究所（NIST）発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目についても一部追加・修正を行いました。
• 付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集をまとめました。
• 付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加しました。

関連リンク

サイバーセキュリティ経営ガイドライン