サイバーセキュリティ経営ガイドライン

経済産業省は、独立行政法人情報処理推進機構（ＩＰＡ）とともに、小規模事業者を除く企業のうち、ＩＴに関するシステムやサービス等を供給する企業や、経営戦略上ＩＴの利活用が不可欠である企業の経営者を対象に「サイバーセキュリティ経営ガイドライン」を策定しています。

同ガイドラインでは、サイバー攻撃から企業を守るため、経営者が認識する必要のある3原則と、セキュリティ対策を実施する責任者に指示すべき重要10項目がまとめられています。以下概要をまとめてみました。

3原則

1. 経営者がリーダーシップをとってセキュリティ対策を推進することが必要
2. 子会社はもちろん、委託先などの外部に提供した情報もサイバー攻撃の標的対象であり、大きなリスク要因となる。このため、自社のみならず、関係企業を含めたセキュリティ対策が必要
3. 平時からセキュリティ対策に関する情報開示を行うなど、利害関係者との適切なコミュニケーションをとることで信頼感を高めておき、サイバー攻撃を受けた場合の不信感を抑える努力をする必要

重要10項目

1. セキュリティポリシーの策定
2. セキュリティポリシーに基づく対応策を実装できるよう適切な管理体制を構築、かつ、その責任の明確化
3. 守るべき資産の特定、セキュリティリスクの洗い出し、その対処に向けた計画を策定
4. Plan（計画）Do（実行）Check（評価）Act（改善）のPDCAの実施。責任者等から経営者に対する定期報告、利害関係者に対する適切な開示
5. 関係企業を含めたPDCAの運用
6. PDCAの運用に必要な予算の確保や人材育成など資源の確保について検討
7. ITシステムの運用における技術的観点などから自組織対応と他組織委託の適切な切り分け
8. 情報共有活動に参加し、最新の状況を自社の対策に反映
9. サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、対応組織の整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的に実践的な演習の実施
10. サイバー攻撃を受けた場合の組織内外での対応環境の準備

このガイドラインは、小規模事業者がその対象から除かれるとともに、ＩＴサービスの供給企業やＩＴの利活用が不可欠の企業がその対象となっていますが、小規模事業者であってもサイバー攻撃による情報流出は事業を継続するに当たって大きなダメージであり、今や広義で見ればＩＴを利活用していない企業はいないと思います。

従って、全ての企業とって参考になるものではないでしょうか。