【要点抽出】サイバーセキュリティ経営ガイドライン v3.0 その2

ニキヌス

後編です。重要10項目をまとめます。

重要10項目の構成

単に10個並んでいるわけではなく、大きく3つの分類があります。

  • 経営者しっかりリーダーシップとれよ系:指示1~8
    これは更に「リスク管理の体制作り」「リスクの特定と対策」「インシデントに備えた体制作り」の3つに分かれています。

  • サプライチェーンセキュリティ対策がんばれ系:指示9

  • コミュニケーションとろう系:指示10

サイバーセキュリティ経営の重要10項目

ここから1項目ずつ、ざっくり何を言ってるのかと、v2.0と比べてどう変わったのかを書いていきます。

指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定

概要

  • サイバーセキュリティリスクは経営者が責任を負う経営リスクだ。

  • セキュリティポリシーをしっかり作って、外に宣言させなさい。

  • こういうことができていないと、いざという時に経営判断ができなくて被害がえらいことになるし、株主とかから信用してもらえない。

  • あと、リスクマネジメントなんだから1回作って終わりじゃダメ。PDCAが大事

変更点
v2.0からタイトルの変更はありません。
サイバーセキュリティリスクを「経営者が責任を負うべき」経営リスクとして認識と太字部分が追加になっていたり、対策例の中にリスクの変化にあわせてPDCAを回して見直しなさいという記載が加わっています。

指示2 サイバーセキュリティリスク管理体制の構築

概要

  • セキュリティリスク管理の関係者の役割と責任をハッキリさせた上で管理体制を作らせなさい。

  • 管理体制は、組織内の他のガバナンス類と整合をとらせなさい。

変更点
v2.0からタイトルの変更はありません。
説明文には以下3点が加わっています。

  • 重要インフラ企業向けに「自社の実態に応じた役割と責任割当に基づく体制を構築」しなさいという記載が入った。

  • 内部統制を機能させるためにもセキュリティ対策について内部でチェックするための体制を作ろうという記載が入った。
    例えば3層構造的な組織をイメージしているのかなと思いました。
    (セキュリティの現場/リスク管理系の組織/内部監査的な組織)

  • セキュリティ管理の業務の中でも組織内のリソースで対応すべき領域と、外部委託できるものを分けようという記載が入った。

指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保

概要

  • リスクを受容可能なレベルまで低減するために必要なヒト、カネを確保しなさい。ショボい処遇だと高度なセキュリティ人材はすぐ逃げちゃうよ。

  • 全役職員にセキュリティ意識向上やセキュリティ育成をさせなさい。
    従業員向けの教育を継続的にやるのは勿論のこと、IT部門以外の人(例えばデジタル部門、事業部門などなど)に「プラス・セキュリティ」人材を育てるようなこともやろう。でも、自社でやりきれないなら外部ベンダも頼ろう。

変更点
v2.0からタイトルの変更はありません。
内容の変更点は以下の2点です。

  • 説明文の中に「リスクを受容可能なレベルまで低減するために~」的なリスクマネジメントを意識した文言が入った。

  • 「全ての役職員に」育成が必要であるとか、「プラス・セキュリティ」な人材をセキュリティ人材以外にも育てようという記載が加わった。

指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

概要

  • リスクは組織ごとに異なることを理解して、守るべき資産の特定や、リスクの洗い出しをさせなさい。抜け漏れがあると危ないし、過剰な対策もデメリットがある。

  • サイバー保険や外部委託もうまく活用してリスク低減させなさい。

変更点
v2.0からタイトルの変更はありません。
内容についての変更点は以下の4点です。

  • v2.0では「守るべき情報を特定」だったが、「事業に用いるデジタル環境、サービス及び情報を特定」と範囲が広くなった。対策例の中でもクラウドやテレワークについて言及しており、環境の変化を反映している。

  • 対策例の中で、自組織にあわせたリスクアセスメントの記載が加わり、そのアプローチも細かめに書いている。

  • リスクの把握の際にサプライチェーンリスクや、偽情報、機械学習における誤判断、海外での法令違反といった、今時のリスクも加わった。

  • リスクと対応方針の定期的な見直しについての記載が加わった。

指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築

概要

  • 指示4で洗い出したリスクに対して、防御・検知・分析を組み合わせた保護策を作らせなさい

  • 作った仕組みは定期的に見直しをさせなさい

変更点
v2.0に比べてタイトルに「効果的に」という言葉が加わりました。
この意味するところは以下の変更点を見ると理解できます。

  • 対策を行った場合のシナリオとして、働き方の多様化、デジタル化、クラウド移行、ゼロトラストなど環境が激しく変わっているので、必ずしも従来の対策がそのまま役立つとは限らない旨が明記された。

  • セキュリティ対策を外部委託するとしても、その報告内容をちゃんと理解できて改善につなげられる人材は社内に必要だから育てなさいという記載が加わった。

  • この他、セキュリティリスクでシステムが停止した時のためのBCP策定や代替手段の準備など、レジリエンスを意識した記載も加わった。

指示6 PDCA サイクルによるサイバーセキュリティ対策の継続的改善

概要

  • リスクの変化に対応できるように対策をPDCAで改善させなさい

  • 経営者は対策の報告を受けて、問題が起きたらじゃなくて兆候があったらすぐ改善させなさい

変更点
v2.0のタイトルは「サイバーセキュリティ対策における PDCA サイクルの実施」でした。
これだとPDCAが目的みたいに見えるので、継続的改善が目的だと言い直したのかなと思います。
内容面では以下の変更点があります。

  • セキュリティリスクは自然災害などに比べてリスクが急激に変わるので、それなりの頻度で見直せないと対応しきれない旨が追記された。

  • PDCAには製品ベンダなどの関係者も含めるとか、セキュリティ対策の状況をサプライチェーン関係者にも開示しなさいとか、サプライチェーンを意識したと思われる記載が追記された。

  • PDCAの手法の一つとしてv2.0では「セキュリティ診断や監査」とあったが、今回はペネトレーションテストの文言が加わった。

指示7 インシデント発生時の緊急対応体制の整備

概要

  • インシデント対応体制(CSIRT)を作らせなさい。

  • 被害があった後に関係者へ通知できるよう体制を整備させなさい。

  • 上記について、演習をさせなさい。

変更点
v2.0からタイトルの変更はありません。
本文の変更点は以下です。

  • CSIRT体制整備の枕詞に「制御系を含むサプライチェーン全体のインシデント対応に対応可能な」が加わった。対策例でも同様の記載が追加。

  • インシデントが起きたら、ではなく発生が懸念される場合に経営者達にすぐ報告させる旨が追加された。

  • 対策例にPSIRTを構築して、自社が提供するサービスに脆弱性があった場合にすぐ対応・情報発信させる記載が加わった。

  • 対策例にインシデント対応訓練の定期実施についての記載が加わった
    (意外なことにv2.0では一切触れられていなかった)。
    また、IT部門だけでない関係者全員や、サプライチェーン上の他企業等を広く巻き込ませることを強調している。

指示8 インシデントによる被害に備えた事業継続・復旧体制の整備

概要

  • インシデントが起きた後の業務復旧の手順や体制を作らせなさい。

  • 復旧対応についてサプライチェーンを巻き込んで訓練させなさい。

変更点
v2.0に比べてタイトルに「事業継続」の言葉が加わりました。
本文の変更点は以下です。

  • BCPに関して「制御系も含めた」の記載が加わった。

  • 復旧の演習について、サプライチェーンを含める記載が加わった。

  • 対策を怠った場合のシナリオとして、デジタル依存が増えたから単にIT環境を復旧させるだけじゃ事業再開できないかもしれない、という環境の変化による危機感をにじませている。

  • 復旧の訓練について、v2.0では「復旧手順に従った演習を実施させる。」の記載だったところが「定期的な復旧演習の実施により、復旧対応に関わる関係者がその手順について、体験を通じて理解する。」と変わり、制御系やサプライチェーンに影響が出る例やインシデント以外(システム移行など)がキッカケとなる例に触れている。

指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

概要

  • サプライチェーンの対策状況を把握させなさい。

  • ビジネスパートナーとの役割や責任範囲を整理させなさい。
    その上で、サプライチェーン全体を強化する方策を考えさせなさい。

変更点
v2.0のタイトルは最後が「対策及び状況把握」でしたが、記載順序が入れ替わりました。ここはあまり狙いがわかりませんでした。
内容についての最大の違いは、クラウドを踏まえた責任分界や管理手法の変化への言及です。

  • クラウドやAPI連携など企業間のつながり方が多様化したから、従来のように委託先に対して要求するだけのスタイルじゃうまくいかない、と細かめに背景を解説する記載が加わった。

  • そのわかりやすい変更点として、v2.0では説明文が「監査の実施や対策状況の把握…」から始まっていたのに対し、v3.0では監査を押し出す書き方は無くなった

  • かわりに、対策例として業界の事情やサプライチェーン内の役割分担、相手先の対応能力に応じて様々な管理手法を組み合わせることを求め、その一例に監査が含まれる位置づけとなった。

  • その他、委託先選定の際の地政学リスク等の考慮や、サプライチェーンのセキュリティ対策の評価に第三者評価を活用(例えばSOC2やISMAPをイメージしているかと思われる)する旨が加わった。

指示10 サイバーセキュリティに関する情報の収集、共有及び開示の促進

概要

  • セキュリティの情報共有はギブ&テイクだから、ちゃんと提供する備えをさせなさい。

  • 入手した情報を活用させなさい。

変更点
v2.0のタイトルは「情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供」でした。説明文にわざわざ「有益な情報を得るには自ら適切な情報提供を行う必要がある」と書いている通り、情報を得るだけじゃなくて出せ!というメッセージが一番の違いのようです。
対策例としても、株主やステークホルダーなどへの日頃の情報開示も、インシデント時の情報共有や公表の備えも両方やっておくような記載が加わっています。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。

この記事が気に入ったらサポートをしてみませんか?