サイバーセキュリティ経営ガイドラインについて
「サイバーセキュリティ経営ガイドライン」は、2015年12月に経済産業省が公表した経営者向けのサイバーセキュリティにおける対策集です。筆者がこのガイドラインを初めて目にしたのは2016年1月で、当時は親会社で情報セキュリティの推進に従事しており、出向期間が満了し、自社に戻ったばかりの時でした。自社に戻ると、経営者(情報セキュリティ管理責任者)から、この新しいガイドラインについて調査し、必要に応じて対応するよう指示を受けました。
このガイドラインは経営者に向けたもので、経営者が認識すべき3項目と、サイバーセキュリティ経営の重要10項目で構成されています。筆者が使用したのはVer.1で、現在(2024年4月末)はVer.3が最新版です。Ver.3では経営者の責務とリーダーシップがより強調されています。
サイバーセキュリティ経営ガイドラインの適用例
筆者が実際に「サイバーセキュリティ経営ガイドライン」に従って自己評価した時の具体的な対応プロセスは以下の通りです。
- 重要10項目のチェック項目を自社の「言葉」に合わせて書き換え、評価を記入する担当者と上長が内容を理解できるようにします。
- 自社で実施している対策を各質問に記載し、証拠を収集します。複数人で協議することで、見落としや誤解を防ぎます。
- 完了した記載に基づき、各項目を「〇」「△」「×」で自己評価します。
- 「△」「×」と評価した項目に対しては、具体的な対策を検討し記載します。対策の実現可能性を考慮して、新たなルールの設定やハードウェア、ソフトウェアの導入、組織体制の見直しなどを行います。
- 対策の実施期限と計画を策定します。
- すべての項目を記載した後、情報セキュリティ管理責任者の承認を得ます。
さらに、筆者は「サイバーセキュリティ経営ガイドライン」の解説セミナーに参加し、その場で知り合った講師(ガイドライン作成メンバーの一人)に自己評価の第三者評価を依頼しました。彼による評価は一日を費やし、各回答に対する鋭い質問と証拠の確認が行われました。
情報セキュリティ経営ガイドラインの効果
この第三者評価を通じて特に重要だったのは、グループ会社への情報セキュリティ強化でした。会社は北米、ヨーロッパ、東南アジアの複数の国にグループ会社を持っており、それぞれが独自に旧セキュリティ規程をカスタマイズして運用していました。しかし、規程類の提供だけで、各グループ会社内で情報セキュリティの推進活動が不十分であり、サプライチェーンからの攻撃への対策が不十分であると指摘されました。そのため、今回の指摘を受けてグループ会社向け規程の見直しを行いました。その規程を現地言語に翻訳し、現地の担当者を日本に呼び寄せ説明会を開催しました。その後、各社は規程を見直し、各社の役員会で承認し運用を開始しました。さらに数ヶ月後には各グループ会社を訪れ、情報セキュリティ監査を実施し、指摘事項が改善されるまで支援しました。
この一連の活動により、各グループ会社のサイバーセキュリティを含めたセキュリティリスクが明らかになり、個別の対応が完了するまで対策を進めたことによりリスクは低減しました。なお、今回特別に行った第三者評価でかかったものは費用ではなく「投資」と認識しています。この投資により、自分たちでは見落としがちなリスクを発見でき非常に有効だと実感しました。