コラム/トピックス

サイバーセキュリティ経営ガイドライン Ver3.0を公表

2024.4.4

Ver3.0では、経営者にリスク認識の一層の引き上げを求める内容に改訂

経済産業省は「サイバーセキュリティ経営ガイドラインVer. 3.0」を公表しました。2017年の Ver. 2.0以来の改訂です。 2015年の初版では、「サイバーセキュリティリスクは経営問題」と明示しています。その後、「経営者は、サイバーセキュリティリスクを認識」 と語調と強めたVer. 2.0に加えて、Ver3.0では「サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題」として、 経営者にリスク認識の一層の引き上げを求める表現になりました。

本ガイドラインは、経済産業省と独立行政法人情報処理推進機構(IPA)が企業の経営者を対象に、経営者の主導のもとで組織的なサイバーセキュリティ対策を実践するための指針として策定しています。本ガイドラインは、「経営者が認識すべき3原則」と、 経営者がCISO等に指示し、確実に実施させる「サイバーセキュリティ経営の重要10項目」の基本的な構成は維持しています。その上で、経営者による最新のサイバーセキュリティを取り巻く環境への認識と対策の実践を支援するため、有識者からの意見やパブリックコメントにおける意見等を踏まえ、主に以下の内容で改訂しました。

「経営者が認識すべき3原則」の主な改訂点

  • 原則(1):経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識する必要性と、残留リスクを許容水準まで低減することは経営者の責務であることの追記
  • 原則(2):国内外のサプライチェーンでつながる関係者への目配り、サプライチェーン全体を俯瞰した総合的なセキュリティ対策の必要性の追記
  • 原則(3):社外のみならず、社内関係者とも積極的にコミュニケーションをとること、インシデント発生時にも当該コミュニケーションが機能することの必要性の追記

「サイバーセキュリティ経営の重要10項目」の主な改訂点

  • 指示5:サイバーセキュリティリスクの識別やリスクの変化に対応した見直しやクラウド等最新技術とその留意点、システムが停止した場合に業務を止めないための計画(BCPを策定し、バックアップの取得や代替手段の整備等について、追記・修正)
  • 指示8:事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施等について追記・修正
  • 指示9:ビジネスパートナーとのサイバーセキュリティ対策の役割と責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについて追記・修正
  • 指示10:有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示、情報共有先のコミュニティの具体例について追記・修正

サイバーセキュリティを包含するエンタープライズリスクマネジメントの実践へ

また、本ガイドラインは本冊と6つの付録で構成され、付録は A,B,D,Eがそれぞれ次のように改訂されました。付録は今後も改訂の必要性に応じて適宜更新される予定です。

「付録」の主な改訂点

  • 付録A「サイバーセキュリティ経営チェックシート」:ver3.0より付録A-1と付録A-2に分割され、それぞれ「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目」が自組織で実施できているかセルフチェックするためのツールとして改訂されました。
  • 付録B「サイバーセキュリティ対策に関する参考情報」:ver3.0より全般・ 3原則・重要10項目のそれぞれに対応する記載へ改訂されました。実務部門が実践する上で参考となる情報源や資料が掲載されており、多くは URLリンクより適宜最新版を参照する必要があります。
  • 付録D「関連する規格・フレームワーク等との関係」:ver3.0より国際規格(ISO/IEC 27000シリーズ)に加えて、サイバーセキュリティ関連のフレームワーク等との対応関係を示した一覧表へと改訂されました。重要10項目等を実践する実務者向けの参考情報です。
  • 付録E「用語の定義」:本ガイドラインで用いる用語や略語が定義ver2.0の21個から、ver3.0では31個へ増加しています。

企業のサイバーセキュリティ対策は、サイバー攻撃から自社のIT システムやそこで扱われる情報資産の保護を主たる目的として議論されてきましたが、企業活動の多くをデジタル環境に依存する現在、会社法の求める内部統制システムの構築や必要な体制の整備、コーポレートガバナンス・コードに基づく開示と対話等においてサイバーセキュリティに関するリスクを考慮しなければ実態に即したものにはならず、サイバーセキュリティを包 含するエンタープライズリスクマネジメントの実践が求められています。本ガイドラインの改訂では、ステークホルダーとの対話が重要視され、有価証券報告書や ESG報告書を通じたサイバーリスク対策への情報開示が必要と考えられています。

【参考情報】
2023年3月31日付 経済産業省 HP https://www.meti.go.jp/press/2022/03/20230324002/20230324002.html

※本記事は、2023年5月1日発行のMS&AD InterRisk Report・ESGトピックス「サイバーセキュリティ経営ガイドライン Ver3.0を公表、経営者 必須の原則や実施事項を改定」を再編集したものです。

会員登録でリスクマネジメントがさらに加速

会員だけが見られるリスクの最新情報や専門家のナレッジが盛りだくさん。
もう一つ上のリスクマネジメントを目指す方の強い味方になります。

  • 関心に合った最新情報がメールで届く!

  • 専門家によるレポートをダウンロードし放題!

  • お気に入りに登録していつでも見返せる。