【要点抽出】サイバーセキュリティ経営ガイドライン v3.0 その1

ニキヌス

サイバーセキュリティ経営ガイドライン3.0が出ました。
今回はこれについて、v2.0と全文比較して更新個所を読み解いたので、私なりに感じた要点を書きます。

https://www.meti.go.jp/policy/netsecurity/mng_guide.html

何の本?

セキュリティの取り組みの重要な成功要因の一つに「経営者によるリード」が挙げられるのはご存じかと思います。
この出ているガイドラインは、まさにそのリードを引き出すために、
経産省が経営者に向けて「セキュリティはアンタがしっかりやるんやぞ!」を伝え、また「やる気はあるけど何すればいいの」的な経営者に、やるべきことを指南する文書と捉えています。
前回のv2.0は平成29年ですから実に6年ぶりの改訂です。

どういう背景でアップデートされたのか?

目次のすぐ次に「サイバーセキュリティ経営ガイドラインVer3.0 の策定にあたって」という項目が追加されています。
これをざっくり要約すると以下です。

v2.0から6年たちました。
6年といえばセキュリティの世界ではむちゃくちゃ昔の話です(Wannacryとかで騒いでた頃です)。
そこからクラウドだのゼロトラストだのサプライチェーンリスクだのテレワークだの、環境面でも脅威面でも多くの変化がありました。
経営者がやるべきこと自体は大きく変わらないけど、そうした変化を盛り込んで今なりに考慮すべき点を加味して書き直しました!
というのが今回の改訂です。

構成は?

全体構成は以下の通りです。

  • 概要

  • 前置き

  • 経営者が意識すべき3原則

  • サイバーセキュリティ経営の重要10項目

概要はエグゼクティブサマリ的なものですが、この文書全体が経営者向けなのでそうは呼ばなかったのかなと思います。

概要

何が書かれているのか

最初の書き出しは「I.企業リスクマネジメントの一部としてのサイバーセキュリティ」です。内容はざっくりこんなメッセージです。

  • セキュリティは組織全体のリスクマネジメントとして捉えなさい

  • サプライチェーン全体を見渡してリスクマネジメントしなさい

  • 経営者がしっかりセキュリティ対策をやらずに漏洩とか起きると法的責任を問われることもある。担当者に丸投げは絶対ダメ!

  • セキュリティ対策は「投資」。リスクを受容可能なレベルまで低減するように実践せよ

  • このガイドラインは大~中小企業くらいが対象

この後、「II.経営者が認識すべき3原則」「III.サイバーセキュリティ経営の重要10項目」と続きますが、これらは後で詳しく書きます。

どう変わったのか

v2.0の書き出しは「I.サイバーセキュリティは経営問題」でした。
セキュリティは経営問題だ!セキュリティ対策は投資だ!という2つの主張に変化はないですが、そこにリスクマネジメントの言葉はありませんでした。
今回その言葉を前面に出したことで、ただ闇雲に投資すれば良いのではない、リスクマネジメントに基づく投資をしなさいと言っているようです。
想像ですが、v2.0が出された平成29年はまだまだ経営層の意識が低かったのかなと思います。
この6年間でそこが改善され、じゃあ次にどう取り組むのが効果的なのか、という観点に一歩進んだように思いました。

前置き

1.1.サイバーセキュリティ経営ガイドラインの背景と位置づけ
1.2.本ガイドラインの構成と活用方法
が書かれています。
ここでもv2.0と比べてリスクマネジメントの言葉や、誰かに丸投げせずに経営者自身が取り組むべきというメッセージが強調されていました。
一例として、v2.0では「経営者においては、最低限、巻頭の概要に目を通した上で、3原則を認識し、重要10項目について CISO 等に指示をすべき」とだけ書かれていたのに対し、
v3.0では「指示をしつつ、組織のリスクマネジメントの責任を担う経営者が自らの役割として実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮する」という記載が続くように変わっていました。

経営者が認識すべき3原則

(1) 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

v2.0では「(1) 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要 」でした。
ここでもリスクマネジメント&「自らの」が強調されています。

(2) サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

v2.0では「(2) 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」でした。
一見同じメッセージに見えますが、よりサプライチェーンが複雑化したことを表しているように思います。
実際、その説明文には「サプライチェーンには(中略)クラウドサービスやモバイルデバイスの利用、情報を扱う機器の保守や情報を記録した媒体の廃棄のような、デジタル環境を介した外部とのつながりの全てが含まれ、かつこれらのつながりは時と共に刻々と変化するなど非定型」という表現が加わっています。

(3) 平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

v2.0では「(3) 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要」でした。
タイトルだけではどう変わったのか読み取りづらいですが、説明文を見ると求めるコミュニケーションの内容が変わっています。
v2.0では「平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーション」
v3.0では「平時からサイバーセキュリティリスクや対策に関する気づきや課題の共有などのコミュニケーション」を積極的に、と求めています。
やってまっせアピールからもう一歩踏み込んでねということですね。

次回は重要10項目に入ります。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?