経済産業省は2023年3月に「サイバーセキュリティ経営ガイドライン」の改訂を発表した。このガイドラインはサイバー攻撃の件数が増加していることを踏まえ、企業によるサイバーセキュリティ対策の指針をまとめたものだ。今回の改訂は、近年のサイバー攻撃の多様化・巧妙化に加え、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を念頭に、さらなる対策の強化を目指す内容となっている。

今回発表された「サイバーセキュリティ経営ガイドライン Ver3.0」では、Ver2.0に比べ「サイバーセキュリティ経営ガイドライン・概要」の項で多くの内容に変更が加えられた。具体的には、以下の内容について注目が必要である。

経営者が認識すべき3原則

ガイドラインでは「経営者が認識すべき3原則」が明記されており、経営者がサイバーセキュリティ対策をするに当たり認識すべきポイントが3点に絞ってまとめられている。Ver2.0では、経営者が自らのリーダーシップのもとで対策を進めることや、自社のみならずサプライチェーンも含めてセキュリティ対策を徹底すること、そのために常に社外の関係者とコミュニケーションすることなどが必要だと記載されていた。

Ver3.0 ではこれに加え、「ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要」と、サプライチェーンの複雑化を踏まえてより広い視野で対策を講じる重要性を指摘する内容が追記されている。

また、「平時から社外の利害関係者（株主、顧客等）はもとより、社内の関係者（CIO等セキュリティ担当者、事業担当責任者等）に事業継続に加えてサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成（後略）」とし、社外のみならず、社内の重要担当者とコミュニケーションすることを求める内容も追記された。

追記された内容からも、今日においてサイバーセキュリティを向上するためには、経営者がミクロ・マクロ両面の視点で対策を講じることが重要であると分かる。

サイバーセキュリティ経営の重要10項目

また、「サイバーセキュリティ経営の重要10項目」も提示されており、CISO（最高情報セキュリティ責任者）などの責任者に対して指示するべき内容が10点に絞ってまとめられているVer2.0では、サイバーセキュリティリスクの認識や対応方針を組織全体で共有することや、予算や人材など必要な資源の確保、攻撃情報の入手とその活用などが重要だと記載されていた。

Ver3.0 ではこれに加え、必要な資源を確保するために人材育成施策を実施することや、サイバー攻撃に遭った場合被害を報告・公表する体制を整えることの重要性を指摘する内容が追記されている。これらの追記からも、現状のリソースを活用するだけでは不十分であり、将来的に強固な体制を構築するために長期的な視点でサイバーセキュリティ対策を施すことが必要であると分かる。

サイバーセキュリティ経営ガイドラインの改訂に合わせて、「サイバーセキュリティ経営可視化ツール」の改正が行われた。これは、企業経営者を対象に、サイバーセキュリティ経営ガイドラインの内容を実践するためのプラクティス集やその可視化に有用なツールなどの情報をまとめたものである。

この「サイバーセキュリティ経営可視化ツール」はExcelデータとして配布されており、自社の状況を入力することで簡単にサイバーセキュリティへの対応度合いを確認できることがメリットだ。今回発表されたVer2.0では、前述した「サイバーセキュリティ経営の重要10項目」の実践状況に対応するレーダーチャートが追加されている。

今回紹介したガイドラインはサイバーセキュリティ対策を向上させるに当たり重要な指摘が記載されているが、企業は自社がどのような状況にあるのかを正確に認識しなければ適切に対応することは難しい。また、主観的なチェックから導かれる評価をうのみにすることは危険である。客観的な判断を受けるためには、社外の有識者によるチェックを受けるなど、外的なリソースを活用することも重要だ。

ベンダーとしても専門的知識を持つ人的リソースを提供するなど、豊富なネットワークを持つ強みを生かして貢献するチャンスにつなげていきたい。