サイバーセキュリティ経営ガイドライン Ver2.0とは？ 解説と対策｜MEポータル

経済産業省では、独立行政法人情報処理推進機構（IPA）とともに、経営者自らがサイバーセキュリティ対策を推進できるよう、経営者を想定読者とした「サイバーセキュリティ経営ガイドライン」を発行しました。

最新版「サイバーセキュリティ経営ガイドライン Ver2.0」では、巧妙化した昨今のサイバー攻撃に備えるには、事前対策のみならず事後対策が必要であると言及しています。

事後、すなわちサイバー攻撃を受けた後の対策も規定するサイバーセキュリティ経営ガイドラインとは、どのようなガイドラインなのでしょうか。

サイバーセキュリティ経営ガイドラインを効率良く理解して、自社で実践する方法も含めて解説します。

 

SlideShare公開ページサイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント

Excel版「サイバーセキュリティ評価チェックシート」はこちら

サイバーセキュリティ経営ガイドライン Ver2.0とは？

近年サプライチェーン全体を狙った攻撃や電力の重要インフラへの攻撃など、国内外において企業を標的とする攻撃はその規模と手口の巧妙さが益々加速しています。 IT部門やセキュリティ担当者の手で負える範囲を超えているのは明らかながら、これまでサイバーセキュリティ対策が経営責任であると明確に示したガイドラインはありませんでした。

図： サイバー攻撃（ウイルス以外）被害を受けた企業の割合/サイバーセキュリティ経営ガイドライン

図： 必要なセキュリティ予算の確保/サイバーセキュリティサーベイ 2017

■サイバーセキュリティ経営ガイドラインの概要

ITを活用していない企業はもはやないというほど、ITは業務の効率化や収益性向上にはなくてはならないものとして根付いています。
サイバー攻撃を行う者にとっても同様で「企業のITインフラを狙えばそこには収集できる金銭も転がっている」のは当然のシナリオとなっています。
サイバーセキュリティ経営ガイドラインの概要によると約4割の企業がサイバー攻撃を受けた経験があると報告しています。

企業へのサイバー攻撃が増す一方で、多くの企業は十分な対策ができていない現実が浮き彫りとなっています。

KPMG コンサルティングの「サイバーセキュリティサーベイ 2017」によると、サイバー攻撃対策への投資を成長に必要な経営資源と位置付けている企業は19％に留まっています。一方で、サイバー攻撃対策への投資はやむを得ない費用であると認識している企業が圧倒的多数です。

また、サイバーセキュリティ対策を成長投資とする企業の7割以上で、必要なセキュリティ予算を確保できています。やむを得ない費用と考えている企業では4割程度となっており、サイバーセキュリティ対策の成否は経営判断に大きく依存していることは明らかです。

サイバーセキュリティ対策を成功させるには、まず経営としてのサイバーセキュリティ対策への認識を問うことが重要との結論から生まれたのが「サイバーセキュリティ経営ガイドライン」です。

サイバーセキュリティ経営ガイドラインは「小規模事業者を除く大・中・小企業の全体指針」という位置付けとなっています。
具体的な対策は「サイバーセキュリティ経営ガイドライン解説書」で説明されているとともに、並行して「サイバーセキュリティ経営ガイドライン実践のためのプラクティス集」という別のコンテンツでも説明されています。
また、中小企業や小規模事業者は「中小企業の情報セキュリティ対策ガイドライン」を参照することとされています。

■サイバーセキュリティ経営ガイドラインの理解が重要である理由

• サイバー攻撃対策の実施を「コスト」と捉えるのではなく「投資」と捉えることが重要
• 経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務

サイバーセキュリティ経営ガイドラインは、サイバーセキュリティ対策において経営者が認識すべき「3原則」と経営者がCISOなどの担当幹部に指示すべき「重要10項目」を示しており、経営者視点の内容構成となっています。

サイバーセキュリティ経営ガイドラインが発行されるまでは、経営者の責任を問うガイドラインというものは存在していませんでした。
単に「セキュリティガイドライン」なのではなく「経営ガイドライン」であることが非常に画期的なのです。
これまで経営者が負うべきサイバーセキュリティ対策の責任をIT部門やセキュリティ担当者が一手に担わざるを得なかった状況から脱し、セキュリティ担当者は肩の荷がおりたというのが正直なところでしょう。

サイバーセキュリティ経営ガイドライン改訂のポイント

サイバーセキュリティ経営ガイドラインの付録にも「ガイドラインは更新される可能性があるため、適宜最新版を参照することが望ましい。」と記載されている通り、サイバーセキュリティ経営ガイドラインはこれまでに2回の改訂があり、Ver1.0、Ver1.1と最新版Ver2.0の３つのバージョンが存在します。

各バージョンの改訂ポイントは次の通りです。

■サイバーセキュリティ経営ガイドライン Ver1.0からVer1.1改訂のポイント

Ver1.0からVer1.1への改訂では、古くなった統計情報の変更や分かりにくい文章のリライトがなされています。
その中で一番影響度の高い変更点が、次の箇所です。

◆Ver1.0

◆Ver1.1

Ver1.0では「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。」と、サイバー攻撃に対する経営責任にあいまいさを残す文章となっていました。
Ver1.1では「サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。」と経営責任を明言しています。
"サイバー攻撃は避けられない"と断言している点と、"セキュリティ投資が経営戦略として必要不可欠かつ責務"と明記している点がVer1.0からVer1.1への改訂では特筆すべき変更点です。

■サイバーセキュリティ経営ガイドライン Ver1.1からVer2.0改訂のポイント

Ver1.1からVer2.0への改訂では、次のような点が変更されています。

✔　経営者がCISO等に対して指示すべき重要項目の見直し
✔　サイバーセキュリティリスクに対応するための仕組みの構築、インシデントによる被害に備えた復旧体制の整備、ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握の指示への追加・変更
✔　付録Aおよびチェック項目の追加、修正
✔　付録Bと付録Cに参考となる各種文献集や参考情報を追加

Ver1.1からVer2.0への改訂では、不足している情報が大幅に追加され、サイバー攻撃に対する危機意識である緊迫度を高めより強い指示に変更されています。
サイバー攻撃を受けた場合の復旧を例として挙げると次の通りです。

◆Ver1.1

◆Ver2.0

Ver1.1では、"もしも"サイバー攻撃を受けた場合というように想定で記載されており、緊迫度が低い指示内容となっています。
一方、Ver2.0では、サイバー攻撃を受け、業務が停止した場合の対応について指示されており、サイバー攻撃を受ける前提で、そこからいかに早く復旧するかという緊迫度の高い指示内容に変更されています。
このように、定期的に改訂されるサイバーセキュリティ経営ガイドラインを自社で実践しようとする場合には、まず全体像を理解するために要点をしっかり理解しておくことが大切です。

そこで、本ガイドラインの更なる普及のために、内容の実践に関して具体的に説明する「解説書」と「プラクティス集」がIPAより発行されました。

■本ガイドラインと併せて活用したい！「サイバーセキュリティ経営ガイドライン 解説書」と「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」

IPA（独立行政法人情報処理推進機構）は、「サイバーセキュリティ経営ガイドライン」の更なる普及に向けて、ガイドラインの内容を補足し、実施方法を具体的に解説する「サイバーセキュリティ経営ガイドライン 解説書」と「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」を発行しました。

「プラクティス集」は、企業の経営者やCISO等のセキュリティ担当者がガイドラインに記載された「重要10項目」を実践する際に、多くの具体的な事例を参考にしながら取り組むべき手順や方法をより簡単に把握できるよう構成されています。

具体的には、「重要10項目」別に考え方やヒント、実施手順、実践事例、そして、セキュリティ担当者の悩み別に解決に向けた取り組み事例を紹介しています。

本ガイドラインと併せて活用することで、経営者により企業におけるサイバーセキュリティ対策への取り組みを後押しすることが期待されています。

サイバーセキュリティ経営ガイドラインを自社で実践するには？

サプライチェーン全体を狙った攻撃や電力の重要インフラへの攻撃など、国内外において企業を標的とする攻撃はその規模と手口の巧妙さが益々加速しています。
IT部門やセキュリティ担当者の手で負える範囲を超えているのは明らかながら、これまでサイバーセキュリティ対策が経営責任であると明確に示したガイドラインはありませんでした。
サイバーセキュリティ経営ガイドラインを理解するためには、「"経営"のガイドライン」である点に注目して読み進めることが重要です。

「サイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント」要約版資料と動画、そして「サイバーセキュリティ評価チェックシート」の公開

この度ゾーホージャパン株式会社は、「サイバーセキュリティ経営ガイドラインVer2.0」の概要をまとめた「サイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント」要約版資料と動画、そして各企業で本ガイドラインを適用する際にお使いいただける「サイバーセキュリティ評価チェックシート」を無料提供いたします。

■要点をまとめて、わかりやすく解説！「サイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント」要約版資料

経済産業省がサイバーセキュリティに対する経営者の理解を推進するために発行した「サイバーセキュリティ経営ガイドラインVer2.0」ですが、幅広い業務に日々多忙な経営者の方でも簡単に概要を理解できるよう、わかりやすい図解の解説を添えた「サイバーセキュリティ経営ガイドラインVer2.0」の要約版資料を用意させていただきました。

サイバーセキュリティ対策を行わないことで経営責任や法的責任が問われる可能性がある昨今のIT利活用の企業運営において、経営者はセキュリティ対策への危機意識を高め、投資計画を立てることが急務となっています。経営者視点で全体が構成された本ガイドラインを有効活用するためにも、常に認識すべきセキュリティ対策への3原則とIT担当者への具体的10項目の指示内容が要約された本資料を是非ご利用ください。

SlideShare公開ページサイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント

■15分間で簡単早わかり！「サイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント」動画

「サイバーセキュリティ経営ガイドラインVer2.0」の概要を簡単に理解できる「サイバーセキュリティ経営ガイドラインVer2.0実践のためのヒント」の動画は、要約版資料を更に簡潔にまとめあげ、把握すべき要点にナレーションの音声でインパクトを与えました。そのため、わずか15分の視聴で本ガイドラインの要点を簡単に理解でき、日々の業務に忙しい経営者にとっては、効率良く本ガイドラインの概要を把握できる動画資料です。

■経営に対する評価を点数化！「サイバーセキュリティ評価チェックシート（Excel版）」

最も客観的な数値化がしにくいとされる経営に対しての評価をチェック項目ごとに点数化できます。
この点数化を実現しているのは、ゾーホージャパン株式会社とニュートン・コンサルティング株式会社がこれまで対応してきたコンサルティングや数々の活動からの知見と実績に他なりません。

• JISQ15001:2017付属書A
• 重要インフラのサイバーセキュリティを改善するためのフレームワークVer1.1
• NIST SP 800-171 Revision1
• CIS Controls version7
• ISO27001:2013付属書A
• ISO27017:2015付属書A
• 中小企業の情報セキュリティ対策ガイドライン第3版
• PCI－DSSバージョン3.2.1

■「サイバーセキュリティ評価チェックシート（Excel版）」の構成と使い方

サイバーセキュリティ評価チェックシートは、まず、サイバーセキュリティ経営ガイドラインで“重要10項目”とされる大項目と中項目が原文そのままで記載されています。
各々の項目を右にたどっていくと、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」が列挙されています。

「経営者がサイバーセキュリティリスクを経営リスクの１つとして認識しているか？」
という問いでは、評価者も客観的な評価を下すことはできませんが、
「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する。」という「実施の確認事項」に対してはYesまたはNoが判断できます。

評価担当者が記入するのは、評価結果、評価コメント、評価手法、根拠、評価者、備考です。
評価結果は1から5までの数字を入力します。

評価手法、根拠、評価者欄はいずれも直接的には評価に関係しない項目ですが、評価の根拠や評価者名を明記することで評価者が主観で評価しないように考慮されています。

評価シートをすべて入力すると評価結果シートに、サイバーセキュリティ経営ガイドラインの重要10項目それぞれに対して、何点だったのか自動計算で結果が表示されます。
自社ではどの項目のセキュリティ対策が不足しているのか一目瞭然です。
サイバーセキュリティと経営はいずれも評価を客観的に点数化することが特に難しい分野です。
「サイバーセキュリティ評価チェックシート」を活用することで、サイバーセキュリティ経営ガイドラインへの準拠の度合いを点数化できます。

■「サイバーセキュリティ評価チェック（Web版）」で、セキュリティ診断結果レポートを無償提供！

サイバーセキュリティ評価チェックの「Web版」もご用意いたしました。サイバーセキュリティ経営ガイドラインで“重要10項目”とされる大項目と中項目の中から、特に重要視すべきと思われる設問、59問を抜粋しています。

使い方は、Excel版と同様、実際の評価担当が数字でセキュリティレベルの評価を行います。その後、評価内容をオンライン上で送信すると、「セキュリティ診断結果レポート」が登録先メールアドレス宛に送付されます。

診断結果レポートには、採用された設問に対する点数が表示され、大項目ごとに平均点が自動で算出されます。診断結果は、この平均点を用いて、次の3つの評価「順調」、「基準値」、「要改善」に判断され、各項目の評価に対する具体的アドバイスを確認できます。

<診断結果の３つの評価内容>

• 「順調」：順調です。ルールが整備され、運用も進んでいると判断されます。
• 「基準値」：もう少しです。実運用で実効性が伴えば、よりセキュリティが強化されます。
• 「要改善」：改善が必要です。まず組織の共通ルール、プロセス整備を検討してください。

170項目の設問で構成されるExcel版に比べ、59項目の設問から成るWeb版は、手軽に「サイバーセキュリティ経営ガイドライン」への準拠度合いを点数化し、組織のセキュリティ対策レベルを確認できます。本格的なセキュリティ対策を講じる前の第一段階作業として、是非「サイバーセキュリティ評価チェック（Web版）」をご活用ください。

おわりに

IMF（国際通貨基金）の専務理事であるクリスティーヌ・ラガルドは レポートの中で次のように述べています。
「サイバー攻撃による年平均の潜在的損失額が、銀行の純利益全体の9％近く、約1,000億ドルに上る可能性が示唆されています。」

これまではサイバーセキュリティ対策というと各企業のIT部門やセキュリティ担当者任せだったと言わざるを得ませんでした。
サイバー攻撃が事業の損失に直結している事実を鑑み“サイバー攻撃は国家単位で対策すべき経営リスク”であるとやっと認知され、整備されたのが「サイバーセキュリティ経営ガイドライン」です。
また、クリスティーヌ・ラガルド氏はサイバー攻撃の今後について、こうも述べています。

これは遠い未来の想定ではなく、現在または1年後の想定です。
すべての企業で早急に実施すべきは「サイバーセキュリティ経営ガイドライン」を理解しサイバーセキュリティは経営判断に成否がかかっていることを認識すること、そして経営ガイドラインへ準拠できているか自社を数値評価することです。
まずは「サイバーセキュリティ経営ガイドラインVer2.0　実践のためのヒント」の要約版/動画資料で本ガイドラインの内容を理解し、一刻も早く自社の評価を完了するために、是非「サイバーセキュリティ評価チェックシート（Web版/Excel版）」をご活用ください。