サイバーセキュリティ経営ガイドラインを解説。企業に必要なセキュリティ対策とは

2022年07月01日
著者:

INDEX

サイバー攻撃をはじめとする、セキュリティ上の新たな脅威が日々発生し、企業経営にとって大きなリスクとなっています。

企業の情報資産を守るため2014年にはサイバーセキュリティ基本法が定められ、翌年には現場でのセキュリティ対策の指針となる「サイバーセキュリティ経営ガイドライン」(経済産業省)が公開されました。

今回は経営者、総務やセキュリティ担当者に向けて、サイバーセキュリティの概要や近年問題となっているセキュリティ上の脅威、ガイドラインで示されている重点ポイントを踏まえた対策について解説します。

サイバーセキュリティとは

サイバーセキュリティ

サイバーセキュリティとは、デジタルな情報や機器への外部からの窃取、毀損、破壊、漏えいなどを目的とした不正な攻撃に対して、それらデジタルな情報や機器の機密性、完全性、可用性を確保するセキュリティ対策全般のことを指します。 具体的には、以下のような措置全般を指します。

サイバー攻撃を受け、情報の流出やシステムに不具合が生じると、企業の信頼性を損なうだけでなく、多額の損賠賠償が発生したり事業活動の停止に追い込まれたりするリスクがあります。

サイバーセキュリティ基本法と近年の動向

インターネットの急速な普及により、2000年代には不正アクセスによる企業や国へのサイバー攻撃が多発し、社会問題化しました。特に日本では2000年に各中央省庁Webサイトがサーバー攻撃によって改ざんされる事件が発生し、従来のセキュリティ対策の不備や脆弱性が明らかとなりました。経済産業省の調査では、サイバー攻撃は増加傾向にあり、約4割の企業がサイバー攻撃を受けた経験があることが分かっています。 また、オリンピック開催時にサイバー攻撃が増加した過去の事例を踏まえ、2015年から「サイバーセキュリティ基本法」の施行を開始しました。 サイバーセキュリティ基本法は主に以下を基本方針とし、社会情勢の変化に合わせて法改正を行っています。

  • サイバーセキュリティに関する国および地方公共団体の責務を明らかにする
  • サイバーセキュリティ戦略本部を設置する
  • サイバーセキュリティ戦略の策定を行う
  • 経済社会の活力の向上と発展、国民が安全で安心して暮らせる社会の実現
(参考:衆議院『サイバーセキュリティ基本法』)

サイバーセキュリティ経営ガイドラインとは

経済産業省はサイバー攻撃の増加や巧妙化により、企業の経営利益が損失している事象が多く発生していることを受けて、サイバーセキュリティを経営問題として捉えるための「サイバーセキュリティ経営ガイドライン」を2015年に独立行政法人 情報処理推進機構(IPA)と共同で策定しました。

経営者が押さえておくべき「サイバーセキュリティ経営の3原則」

「サイバーセキュリティ経営ガイドライン」では、サイバー攻撃による脅威防止のために「経営者が認識すべき3原則」が示されています。以下、サイバーセキュリティ経営ガイドラインを参照しながら解説していきます。

原則①:経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

「リスクを考慮したサイバーセキュリティ対策の推進」と「サイバー攻撃によって企業の成長が阻害されないようセキュリティ投資の実施」が求められています。これらの対策を実施する上で、特に以下の2点を重視する必要があります。


①責任者となる担当幹部の任命
(例:Chief Information Security Officer:CISO、最高情報セキュリティ責任者など)
②経営者自らがリーダーシップを発揮して適切な経営資源の配分を行う

原則②:自社、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要

自社だけに留まらない取引先なども含む「総合的なサイバーセキュリティ対策」が欠かせません。これまでも、セキュリティ対策が充実している大企業を避けて、 対策が不十分な中小の取引先企業を経由するサイバー攻撃が多く発生しており、自社だけでなくビジネスパートナーやシステム保守・運用などの委託先を含めた、サプライチェーン全体を包含するセキュリティ対策を実施する必要があります。


原則③:平時・緊急時ともに関係者との適切なコミュニケーションが必要

緊急時(インシデント発生時)にも円滑にコミュニケーションを取るため、平時から株主や顧客を含めた関係者に情報セキュリティに関する情報開示や情報共有を行い、信頼関係の醸成に努めることが求められます。


責任者に対応を指示すべき「サイバーセキュリティ経営の重要10項目」

「サイバーセキュリティ経営ガイドライン」では、経営者だけではなく、担当幹部(CISO等)が意識すべき項目も示されています。ガイドラインに記載されている10つの指示について解説します。

【ステップ1】
セキュリティポリシーを策定する際は、情報システム部門だけでなく製造・開発部門、販売部門など、各事業に応じた方針を検討する

【ステップ2】
セキュリティポリシーの周知徹底のため、社内教育や社内サイトへの掲載を行う

【ステップ3】
セキュリティポリシーを一般公開し、ステークホルダーや社会に対して自社の姿勢を示す

指示②:管理体制の構築

サイバーセキュリティリスクの管理体制を整備していない場合、組織としてリスクの把握ができず、一貫した方針が取れなくなる可能性があります。
それを防ぐために、以下のステップを検討しましょう。

【ステップ1】
セキュリティ責任者はサイバーセキュリティリスクの管理体制を構築。責任範囲を明確化する

【ステップ2】
セキュリティ責任者は、経営リスクに関する委員会に参加する

【ステップ3】
サイバーセキュリティリスク管理体制の企画・設計段階からサイバーセキュリティ対策を考慮した体制を構築し、取締役、監査役は構築された管理体制について監視する

指示③:対策のための予算・人材確保

サイバーセキュリティ対策のための予算、有能なサイバーセキュリティ人材や外部の委託先の確保が継続的なセキュリティ管理体制構築に欠かせません。 予算と人材確保のために、以下のステップを検討しましょう。

【ステップ1】
企業内でサイバーセキュリティ対策を明確にし、それに要する費用を確保する

【ステップ2】
予算を確保し、継続的に自社内の役割に応じたセキュリティ教育を実施。自社内での教育が難しい場合は外部のセキュリティ研修を活用する

【ステップ3】
組織内でサイバーセキュリティ人材の雇用が困難な場合、セキュリティが専門のソフトウェア提供企業(ベンダー)の活用を検討する

指示④:リスクの把握とリスク対応に関する計画の策定

万全なリスク対応のための計画策定には、経営戦略の観点から守るべき情報を特定した上でサイバーセキュリティリスクを把握する必要があります。 対策として以下のステップを検討しましょう。

【ステップ1】
経営戦略の観点から守るべき情報(新商品情報、顧客情報、経営情報など)を特定、保存先を明確にする

【ステップ2】
守るべき情報に対し、発生する可能性があるセキュリティリスク(情報流出、信頼の毀損など)を把握。対策が不要なリスクは「残留リスク」として把握

【ステップ3】
リスクに対するサイバーセキュリティ対策を3つの観点で検討する
  • セキュリティリスクの発生確率を下げる対策:重要な情報へのアクセス制御、ソフトウェア更新の徹底など
  • セキュリティリスク回避策の実施端末の持ち出し禁止など
  • セキュリティリスクを負う主体を他社に移す対策:クラウドサービスの利用、サイバー保険の加入など

指示⑤:リスクに対応するための仕組みの構築

リスクに対応するため、サイバー攻撃に対する防御・検知・分析に関する対策に加え、その対策が実行可能な組織体制を構築しなければなりません。 体制構築のために以下のステップを検討しましょう。

【ステップ1】
重要業務を行う端末やネットワーク、システム、サービスには暗号化やバックアップなど、情報を保護する仕組みを導入する

【ステップ2】
アクセスのログや通信ログからサイバー攻撃を監視・検知する仕組みを構築する
  • 例:検知した場合には速やかに関係者にアラートを出す
  • 例:サイバー攻撃の監視スキルを持っている専門人材がいない場合、外部に委託する

【ステップ3】
従業員に対する教育の実施。全員が適切に対応できるよう日頃から備える

指示⑥: PDCA サイクルの実施

サイバーセキュリティ計画を確実に実施し、進化するサイバー攻撃に対しても継続的に計画を改善していくというPDCA サイクルも重要になってきます。 PDCAサイクルを検討する際は、以下のステップを参考にすると良いでしょう。

【ステップ1】
改善のためにセキュリティ責任者には、定期的に対策状況を経営者に報告させる

【ステップ2】
信頼性を高めるため、ステークホルダーには対策状況を開示する

指示⑦:インシデント発生時の緊急対応体制の整備

サイバー攻撃をはじめ、重大なリスクの発生が考えられる事態(インシデント)を想定します。発生した場合の影響範囲や損害の特定、初動対応、再発防止など、検討するための体制を整備します。 体制整備のため、以下のステップを検討しましょう。

【ステップ1】
サイバー攻撃による被害を受けた場合、各種ログの保全やコンピューターウイルスに感染した端末の確認など、証拠保全を行える体制を構築する

【ステップ2】
攻撃収束後は、再発防止策として所管省庁などへの報告手順も含めて演習を行う。具体的な防止策の策定については専門家の知見も活用する

【ステップ3】
初動対応時にはどのような業務に影響が出るのか、あらかじめ検討しておく

指示⑧:インシデントによる被害からの復旧体制の整備

サイバー攻撃(インシデント)が発生し、業務停止に至った場合、いつまでに復旧すべきかを決定し、復旧対応体制を整備する必要があります。 インシデント発生時に備えた対応として、以下のステップが挙げられます。

【ステップ1】
各担当者には復旧手順に従った演習を事前に実施させる

【ステップ2】
サイバー攻撃により業務停止に至った場合、速やかに復旧するために関係機関との連携や復旧作業を実施できるよう指示する

【ステップ3】
いつまでに復旧すべきかについては、組織全体で情報共有して整合性を取る

指示⑨:サプライチェーン全体の対策の推進

サプライチェーン全体の対策を万全にするため、サイバーセキュリティ対策について、ビジネスパートナーや委託先を含めたの PDCAの運用を行います。 対策推進のため、担当者には以下のステップで指示を出しましょう。

【ステップ1】
ビジネスパートナーや委託先に対して、サイバーセキュリティ対策の内容を明確にした上で契約を交わす

【ステップ2】
重要な情報を委託先に預ける場合、委託先の経営状況も踏まえて、情報の安全性が確保できるかどうかを定期的に確認する

【ステップ3】
取引先候補の中から、サイバー保険に加入している委託先を選択する

指示⑩:関係者とのコミュニケーションの推進

日々進化する最新のサイバー攻撃に対応するため、サイバー攻撃に関する情報共有活動に参加し、積極的な情報提供や情報の獲得を行うよう、関係者とのコミュニケーションを推進します。 具体的には以下の措置が取れるように、担当者への指示を検討しましょう。

【ステップ1】
サイバー攻撃の防御につなげるため、情報を入手するだけではなく、自社からも積極的に情報を提供する

【ステップ2】
情報提供機関*による情報を踏まえ、自社のサイバーセキュリティ対策に生かす


(*独立行政法人情報処理推進機構(IPA) や不正アクセスの被害に対応するために設立された一般社団法人 JPCERT コーディネーションセンターなど)

企業が意識すべきセキュリティ対策とは

企業が意識すべきセキュリティ対策の種類について具体的に解説します。

基本的なセキュリティ対策の徹底

サイバーセキュリティ対策を行う上でも、基本的な対策方針は変わりません。自社内で以下の対策を徹底できているか確認しましょう。

  • ソフトウェアの最新版への更新 やウイルス対策ソフトのインストール
  • OS、ネットワーク、クラウドなどのセキュリティ設定の見直し

物理的なセキュリティ対策

セキュリティ対策の一環として、自社情報の盗難や、災害によるシステムダウンなど物理的要因に対する対策も必要です。以下の対策が実施できているか随時確認しましょう。

  • 防犯カメラの設置
  • オフィスの施錠
  • 入退室管理システムの導入
  • 生体認証システムの導入
  • 自社オフィスの耐震強化
  • 火災感知器の設置

内部不正や情報漏洩に対応するルール策定

不正アクセスや情報漏えいに備えるためには、外部からのサイバー攻撃だけでなく、内部の人間による不正防止の対策も同時に行う必要があります。具体的には、以下の対策を徹底させましょう。

  • 業務の持ち帰りの制限
  • 自社ルールに基づいたパスワード管理
  • セキュリティ教育・研修の実施
  • サイバー攻撃が発生した際の報告体制の整備

まとめ

業種や企業規模を問わず、サイバー攻撃をはじめとするセキュリティ上の脅威が経営リスクとなっています。年々セキュリティ対策の重要度は上がり、経済産業省とIPAの「サイバーセキュリティ経営ガイドライン」が 推奨している「重要10項目」の基準を満たさない企業は、情報セキュリティが不十分であるとみなされる可能性があります。 安全性確保のためには、ガイドライン沿って、早急に対策しなければなりません。パートナー企業や取引先、消費者に対しても信頼度が高く、計画の改善がしやすい体制づくりが急務です。


関連記事 この記事を読んだ方へおすすめ







「akerun(アケルン)入退室管理システム」に関する資料

資料ダウンロード

「Akerun入退室管理システム」導入を検討されているお客様に
製品・サービスの特長をご紹介します。

3分でわかる!
資料ダウンロード