news

ニュース

【経済産業省】サイバーセキュリティ経営ガイドラインを改訂

© Kevin via Unsplash

「サイバーセキュリティ経営ガイドライン」改訂

経済産業省は、2017年11月16日、独立行政法人情報処理推進機構(IPA)と協力して行なっている経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針となる、「サイバーセキュリティ経営ガイドライン」を改訂いたしました。

発表資料

サイバーセキュリティ経営ガイドライン Ver2.0(PDF)

改訂の背景

進化し続けれるサイバー攻撃は巧妙化しており、しかもサイレント攻撃で気づかないうちに機密情報が盗まれるというケースが相次いています。
しかも、国家レベルでも行なわれており、防御する側の対策も難しくなっています。
こうした状況を踏まえて、同省は、IPAと協力してガイドラインを改訂を行なったとのことです。

改訂の背景としては、同省ウェブページに以下のとおり書かれております。

昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にあります。一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっています。

こうした状況を踏まえ、経済産業省は、IPAと協力し「サイバーセキュリティ経営ガイドライン改訂に関する研究会」を開催しました。そこでの検討を踏まえ、今般、事後対策の追加などを含めた、サイバーセキュリティ経営ガイドラインの改訂を行いました。

改訂のポイント

改訂のポイントは、以下の通りです。同省ウェブページより

  • 有識者やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行いました。
  • 経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施しました。
  • 「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制についての記載を行いました。
  • 「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」についての記載を行いました。
  • 「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目の整理を行いました。
  • 付録Aに、米国国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目についても一部追加・修正を行いました。
  • 付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集をまとめました。
  • 付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加しました。

関連リンク

サイバーセキュリティ経営ガイドライン

経営者も情報セキュリティについては、しっかりと学んでおかないと大変な事態が起こります

しっかりと、セキュリティについての戦略を立てておきましょう。以下の書籍は参考までに。

サイバー攻撃に勝つ経営―先進企業にみるCISOの挑戦
サイバー攻撃に勝つ経営―先進企業にみるCISOの挑戦

著者 山本直樹 PwCコンサルティング合同会社
価格 ¥ 1,728(2017/11/17 10:30時点)
出版日 2017/10/05
商品ランキング 88,911位
単行本 196ページ
ISBN-104822259609
ISBN-139784822259600
出版社 日経BP社