ガイドラインの概要
「サイバーセキュリティ経営ガイドライン」は、経済産業省とIPAが策定する、企業経営者向けのサイバーセキュリティ対策の指針です。2015年にVer1.0が公開され、2023年3月に約6年ぶりの改訂となるVer3.0が公開されました。
セキュリティ対策を「コスト」ではなく「投資」と捉え、経営者がリーダーシップを発揮して対策を推進することを求めています。
経営者が認識すべき3原則
| # | 原則 | 概要 |
|---|---|---|
| 1 | 経営者はリーダーシップを発揮してサイバーセキュリティ対策を進める | サイバーセキュリティは経営課題であり、対策の実施を通じた残留リスクの低減は経営者の責務 |
| 2 | 自社のサプライチェーン全体にわたるセキュリティ対策への目配り | 取引関係にとどまらず、サプライチェーンでつながる関係者のセキュリティ対策にも目を配る |
| 3 | 平時・緊急時の関係者との積極的なコミュニケーション | 社内外の関係者と積極的にコミュニケーションを取り、インシデント発生時の対応を円滑に |
重要10項目
| 指示 | 内容 |
|---|---|
| 1 | サイバーセキュリティリスクの認識、組織全体での対応方針の策定 |
| 2 | サイバーセキュリティリスク管理体制の構築 |
| 3 | サイバーセキュリティ対策のための資源(予算、人材等)確保 |
| 4 | サイバーセキュリティリスクの把握とリスク対応に関する計画の策定 |
| 5 | サイバーセキュリティリスクに効果的に対応する仕組みの構築 |
| 6 | PDCAサイクルによるサイバーセキュリティ対策の継続的改善 |
| 7 | インシデント発生時の緊急対応体制の整備 |
| 8 | インシデントによる被害に備えた事業継続・復旧体制の整備 |
| 9 | ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策 |
| 10 | サイバーセキュリティに関する情報の収集、共有及び開示の促進 |
Ver3.0の改訂ポイント
- サプライチェーン対策の強化:サプライチェーン全体での役割・責任の明確化、ビジネスパートナーへの対策支援
- デジタル基盤全体への拡大:IT系だけでなく制御系(OT)を含むデジタル基盤全体をセキュリティ対策の対象に
- 経営者の責務の明確化:残留リスクの低減が経営者の責務であることを明記
- 事業継続・復旧体制:制御系も含めた復旧プロセスとの整合性、実践的な演習の実施
実践のためのプラクティス集
IPAは「サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集(第4版)」を公開しており、重要10項目の実践に必要な事例やヒントが充実しています。
まとめ
サイバーセキュリティ経営ガイドラインVer3.0は「3原則+重要10項目」で経営者のサイバーセキュリティ対策を指南する国の基本指針です。サプライチェーン対策の強化とデジタル基盤全体への対象拡大がVer3.0の主要な改訂ポイントです。