サイバーセキュリティ経営ガイドライン ver.3.0とは？ 改訂のポイントなど徹底解説

サイバー攻撃の脅威が日々高まるなか、企業にとってサイバーセキュリティ対策は重要な経営課題となっています。「サイバーセキュリティ経営ガイドライン」は、企業の経営者を対象にサイバーセキュリティ対策に関する基本的な考え方や取り組み方を示したものです。このガイドラインを活用することで、企業はサイバーセキュリティ対策を経営戦略に組み込み、効果的な対策を実施できるようになります。

この記事では、サイバーセキュリティ経営ガイドラインの概要をもとに、2023年に改定された内容やガイドラインに基づくセキュリティの強化方法について解説します。

サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドラインとは、企業の経営者を対象としたサイバーセキュリティ対策の基本的な考え方や取り組み方を示したガイドラインです。経済産業省とIPA（情報処理推進機構）により作成され、企業がサイバーセキュリティ対策を経営視点で進めるための指針となっています。

サイバーセキュリティ経営ガイドラインは、サイバー攻撃から企業を守り、情報セキュリティ対策を強化するために経営者が認識すべき事項と、対策を実施する上での責任者であるCISO（Chief Information Security Officer）などに指示すべき事項をまとめたものです。

サイバー攻撃の脅威は高まり続けており、近年では企業におけるサイバーセキュリティ対策は重要な経営課題となりました。サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策を経営戦略に組み込み、効果的な対策を実施するために役立つものです。

サイバーセキュリティ経営ガイドラインver3.0の改訂内容

サイバーセキュリティ経営ガイドラインは2023年3月に改定され、2023年9月現在では「サイバーセキュリティ経営ガイドライン ver3.0」となっています。ここでは、ver3.0の改定内容を簡単に解説します。

ver3.0への改定の背景

サイバーセキュリティ経営ガイドラインは、2016年に策定されたver2.0から7年ぶりに改定されました。その背景としては、主にサイバー攻撃の高度化、巧妙化、多様化が要因として挙げられます。

サイバー攻撃は年々高度化・巧妙化・多様化し続けており、もたらされる被害も大きくなっています。例えば、近年ではランサムウェア攻撃やサプライチェーン攻撃など、企業にとって甚大な被害をもたらす攻撃が頻発するようになりました。また、クラウドサービスの業務利用など、企業を取り巻く環境も変化しており、従来どおりのセキュリティ対策では不十分になってきています。

そこで、サイバー攻撃や企業環境の変化に伴い、効果的なセキュリティ対策を実施するための新たな指針として改定されました。

ver3.0における改定のポイント

ver3.0では、主に次の3点を中心に改定されています。

• 経営者の責任の明確化
• サプライチェーン全体でのセキュリティ対策の推進
• 被害に遭った場合の対応体制の整備

改定にあたり経済産業省は有識者や関係者を交えた研究会を開催し、経営者が認識すべき「3原則」と「重要10項目」の指針の明確化と強化が盛り込まれました。また、近年のサイバー攻撃は企業単体で防ぐことが難しくなっていることから、サプライチェーン全体でのセキュリティ対策の推進も内容に含まれています。加えて、被害に遭った場合の対策も重要視されており、迅速に対応するための体制の整備も行われました。 

ver3.0には、前述のとおり、サイバー攻撃が高度化・巧妙化・多様化するなかで、企業が効果的なセキュリティ対策を実施するために必要となる指針が追加されています。

サイバーセキュリティ経営ガイドライン ver3.0の主な内容

ここからは、サイバーセキュリティ経営ガイドライン ver3.0を参考に内容をかいつまんで解説していきます。

 経営者が認識すべき3原則

ガイドラインでは、経営者は次の3原則を認識し、対策を進めることが重要とされています。

1. サイバーセキュリティは経営の重要課題であり、リーダーシップを発揮して取り組むことが必要
2. 自社のみならず、サプライチェーン全体にわたる対策が必要
3. サイバーセキュリティ対策関係者との積極的なコミュニケーションが必要

1つ目は、サイバーセキュリティは経営の重要課題であることを認識し、経営者自ら自社の組織や事業におけるリスクを把握した上で、対策の推進を主導することが必要である、ということです。 

2つ目は、近年増加している取引先や子会社、業務委託先企業などからサイバー攻撃を仕掛ける「サプライチェーン攻撃」への対策における考え方です。サイバーセキュリティは自社だけで完結するものではなく、サプライチェーンの国内外のビジネスパートナーや委託先などの全体を意識して総合的なセキュリティ対策を徹底することが重要とされています。

3つ目は、平時からサイバーセキュリティリスクや対策に関する課題の共有などのコミュニケーションを積極的に行うことを指しています。円滑なコミュニケーションの実現は、インシデント発生時の連絡体制として機能し、迅速な対応を可能とするため重要視されています。

経営者が認識すべき「重要10項目」

経営者が認識すべき重要10項目は、おもにCISOなどを通じて組織が実施すべき項目をまとめたものであり、それぞれ経営者主導で指示を行うべき項目です。

＜経営者がリーダーシップをとったセキュリティ対策の推進＞

（サイバーセキュリティリスクの管理体制構築）

指示1：サイバーセキュリティリスクの認識、組織全体での対応方針の策定

指示2：サイバーセキュリティリスク管理体制の構築

指示3：サイバーセキュリティ対策のための資源（予算、人材等）確保

（サイバーセキュリティリスクの特定と対策の実装）

指示4：サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

指示5：サイバーセキュリティリスクに効果的に対応する仕組みの構築

指示6：PDCAサイクルによるサイバーセキュリティ対策の継続的改善

（インシデント発生に備えた体制構築）

指示7：インシデント発生時の緊急対応体制の整備

指示8：インシデントによる被害に備えた事業継続・復旧体制の整備

＜サプライチェーンセキュリティ対策の推進＞

指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

＜ステークホルダーを含めた関係者とのコミュニケーションの推進＞

指示10：サイバーセキュリティに関する情報の収集、共有および開示の促進

引用元：「サイバーセキュリティ経営ガイドライン ver3.0」（経済産業省）

経営者はこれらを指示するだけでなく、自らがリスクマネジメントの責任を担い、リーダーシップを発揮して対応を進めることが求められています。

それぞれの項目について、より詳しく知りたい方は以下からガイドラインをご確認ください。

「サイバーセキュリティ経営ガイドライン ver3.0（経済産業省）」

サイバーセキュリティ経営ガイドラインに基づくセキュリティ強化

サイバーセキュリティを強化するためには、サイバーセキュリティ経営ガイドラインに基づいて対策を実施することが重要です。ここでは、サイバーセキュリティ経営ガイドラインを効果的に利用するためのポイントを簡単に解説します。

ガイドラインの適用対象と範囲の確認

サイバーセキュリティ経営ガイドラインを効果的に利用するためには、経営層がサイバーセキュリティに関しての意識を持ち、トップダウンで施策を推進する必要があります。また、経営層からの指示に対して、現場は具体的かつ効果的な対策を推進しなければなりません。

そのためには、サイバーセキュリティ経営ガイドラインの適用対象と範囲を明確にすることが重要です。システムに対してどの程度のセキュリティ対策が必要か、なども含め、ガイドラインに基づき確認を進めましょう。

サイバーセキュリティ経営可視化ツールの活用

サイバーセキュリティ経営ガイドラインをベースとし、実践状況をセルフチェックで可視化するツールがIPAから公開されています。「サイバーセキュリティ経営可視化ツール」は、重要10項目の実施状況を5段階の成熟モデルで可視化するツールです。

経営層からの指示に基づき対策を実施する現場の実務者がチェックを行い、経営層が結果を確認することでガイドラインの進行状況が把握できます。

「サイバーセキュリティ経営可視化ツール」（IPA）

サイバーセキュリティ経営の方針策定

サイバーセキュリティ対策は経営戦略として実施する必要があり、経営者はサイバーセキュリティ経営の方針を策定することが重要です。ガイドラインの3原則・重要10項目をしっかりと理解した上で、経営方針を策定しましょう。

その際には、「サイバーセキュリティ経営チェックシート」などを使ってセルフチェックを行い、ガイドラインに則した方針となっているかをチェックするとよいでしょう。サイバーセキュリティ経営チェックシートはガイドラインの付録であり、その他にも参考情報や規格・フレームワークなどとの関係性をまとめた資料もあります。

前述のサイバーセキュリティ経営可視化ツールと併せて、適宜チェックをしながら進めることが重要です。

サイバーセキュリティ対策の実施・体制強化

方針の策定後には具体的な対策の実施や体制の強化を行います。その際には、ガイドラインの付録である「サイバーセキュリティ体制構築・人材確保の手引き」が役立ちます。こちらの手引では、ガイドラインの指示2・指示3の進め方を6つのステップで解説しているため、ガイドラインと併せて確認するとよいでしょう。

Step1：サイバーセキュリティに関して「やるべきこと」の明確化

Step2：セキュリティ統括機能の検討

Step3：関連タスクを担う部門・関係会社の特定・責任明確化

Step4：サイバーセキュリティを主たる業務とする人材の確保

Step5：「プラス・セキュリティ」の取り組み推進

Step6：教育プログラム・試験・資格等の活用と人材育成計画の検討

具体的な内容については、ガイドラインと併せて関連情報までまとめられている以下のサイトをご確認ください。

「サイバーセキュリティ経営ガイドラインと支援ツール」（経済産業省）

サイバーセキュリティ対策は持続的な取り組みが重要

サイバーセキュリティ対策は単発的な取り組みではなく、常に変化する脅威に適応し、継続的に取り組むことが重要です。ガイドラインが改定された背景からもわかるとおり、サイバー攻撃の脅威は常に変化しており、新たな手法や攻撃者が登場しています。変化し続ける脅威に対して単発的な取り組みをするだけでは、変化に対応できずにセキュリティは脆弱になってしまいます。そのため、組織として持続的なサイバーセキュリティ対策に取り組まなければなりません。

有効な対策例としては、定期的なセキュリティ監査や脆弱性評価を行い、発見された問題に対処するサイクルを構築する、システム面だけでなく従業員のセキュリティ教育と訓練を継続的に実施する、などが挙げられます。

サイバーセキュリティ経営ガイドラインでも、重要10項目の中に「PDCAサイクルによるサイバーセキュリティ対策の継続的改善」が挙げられていることからも、サイバーセキュリティ対策の持続的な取り組みが、サイバーセキュリティ経営の成功につながることがわかります。

まとめ

経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン ver3.0」は、企業の経営者を対象にサイバーセキュリティ対策に関する基本的な考え方や取り組み方を示したものです。サイバーセキュリティ経営ガイドラインは、企業のセキュリティ対策において重要な指針といえます。

ガイドラインを活用することで、企業はサイバーセキュリティ対策を経営戦略に組み込み、効果的な対策を実施できるようになります。ガイドラインを効果的に活用し、自社のセキュリティ強化に役立てましょう。