経産省/IPA、セキュリティ経営ガイド策定
16 1/11
経済産業省と情報処理推進機構(IPA)は、経営者がITに対する投資や情報セキュリティに対する投資などをどの程度行うかなどを判断するための指標として、「サイバーセキュリティ経営ガイドライン」を策定した。企業活動や社会におけるIT化が進むなかで、企業が保有する顧客の個人情報や重要な技術情報などを狙うサイバー攻撃は増加傾向にあり、手口は巧妙になっている。経産省とIPAは、サイバーセキュリティ対策を推進するためのガイドを策定し、企業のサイバーセキュリティ対策の高度化を支援する。
企業を取り巻くサイバー攻撃への脅威が増す一方、現状では多くの企業が十分な対策を取れていない。
IPAの調査によると、諸外国では、大半の企業がサイバー攻撃への対応について取締役レベルで議論すべきと考えているのに対し、日本では、多くの企業がそう考えていない。このように経営層主導で対策が行われていないことが大きな理由として考えられるため、経営者のリーダーシップの下で行うサイバーセキュリティ対策を支援する形で、サイバーセキュリティ経営ガイドラインを策定した。
ガイドラインでは、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき「重要10項目」をまとめた。
3原則として、「経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要」「自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要」「平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要」を示した。
また、対策責任者となる担当幹部に指示すべき重要10項目には、「リーダーシップの表明と体制」「サイバーセキュリティリスク管理の枠組み決定」「リスクを踏まえた攻撃を防ぐための事前対策」などを提示している。