経済産業省と独立行政法人 情報処理推進機構(IPA)は2015年12月28日、経営者に向けてサイバーセキュリティの考え方と重要項目を定めた「サイバーセキュリティ経営ガイドライン」を公表しました。
これは2014年のサイバーセキュリティ基本法の成立を背景に、国として経営者に向けて打ち出す、初めての指針となります。しかし一方で、このガイドライン自体は法的拘束力のある規定ではなく、「強制されないのなら、何のために経産省が公開したの?」と疑問を持たれる向きもあると思います。
本コラムでは、この「サイバーセキュリティ経営ガイドライン」についての
- 「どんな内容なの?」
- 「どんな影響があるの?」
- 「何をすればいいの?」
第1回の今回は、ガイドラインの内容や企業への影響について解説します。
●「どんな内容なの?」 ~ 指針の構成
このガイドラインは企業の経営者に向けて、サイバー攻撃から企業を守るために経営者が認識する必要のある「3原則」、および経営者として、実際に対策を実施する責任者に対して指示を出す「重要10項目」がまとめられています。
対象としてはITシステムやサービスを供給する企業、および経営戦略上ITの利活用が不可欠である企業を想定しています。ある程度以上の規模の企業であれば、通常はITの利活用が経営戦略の重要部分を占めますので、ほぼ全ての大企業が対象になるでしょう。
この「3原則」「重要10項目」をまとめたガイドラインは、本文だけなら18ページ、付録を含めても31ページにすぎない文書で、大変読みやすく書かれています。
しかし何と言っても、冒頭2ページの「サイバーセキュリティ経営ガイドライン・概要」が白眉です。
重要な事柄が簡潔に、難解なIT用語などは使わず、端的な言葉でまとまっています。経営者の立場の方であれば、この「概要」2ページで必要なことが全て把握できるでしょう。
もし、あなたがガイドラインを未読でしたら、まずは経産省のサイトからガイドラインをダウンロードして、この2ページだけを読まれることを強くお勧めします。
- 経済産業省サイト
- 「サイバーセキュリティ経営ガイドラインを策定しました」
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html - 「サイバーセキュリティ経営ガイドラインVer 1.0(PDFファイル)」
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf
「3原則」
経営者がサイバーセキュリティ経営を行うにあたって、認識すべき3つの原則が述べられています。
例えば、セキュリティ投資はリターンの算出がほぼ不可能であり、各部門から上がる提案を待って経営者が評価するのではなく、経営者自らがリーダーシップを発揮して経営資源を用い、対策を講じることが必要とされています。
「重要10項目」
実際にサイバー攻撃対策を実施するにあたっては、多くの場合、経営者自身は方針を示して指示を出す立場になると思います。おそらく実務面での対策実施の責任者は担当幹部が務め、この方に対して経営者が指示を出すことになります。
その際、経営者が意識して指示すべき重要項目をまとめたのが「重要10項目」です。
●「どんな影響があるの?」 ~ 企業にとって指針が意味するもの
このガイドラインは、冒頭に説明したとおり法的拘束力のない文書です。ですから企業としてこのガイドラインを、あくまで参考になる読み物にすぎないものと捉えがちです。
しかし一方で「実質的にこのガイドラインが、守るべき最低ラインになる」とする報道もあります(※1)。
本来、このガイドラインはどのような姿勢で読むべきなのでしょうか。
(※1)日経コンピュータ2016年1月21日号「経産省、初の経営者向けセキュリティ指針」
ご存じのとおり2014年11月に「サイバーセキュリティ基本法」が成立したことで、サイバーセキュリティを“国政における重要なウェイトを占める分野”として推進する基本方針が国内外に示されました。
この基本法の定めに従って、国の具体的な施策計画をまとめたものが「サイバーセキュリティ戦略」(2015年9月閣議決定)です。
このなかで、経済社会の活力向上と持続的発展を実現するための施策として「セキュリティマインドを持った企業経営の推進」を行うこととされています。
今回公表された「サイバーセキュリティ経営ガイドライン」は、この施策において策定されたものです。つまりこのガイドラインは、サイバーセキュリティ基本法が示す方針の下、国が経済社会にの発展のため企業に求める事柄を経営者に明示したものなのです。
逆に言えば、「サイバーセキュリティ経営ガイドライン」の求める水準に達しない企業は、今後、わが国の経済社会において十分な責任を果たしていない企業とみなされるということでもあります。
たとえば、ある会社が不幸にしてサイバー攻撃の被害に遭い、個人情報漏えいを主務官庁に報告したとします。このとき、この会社の経営が「サイバーセキュリティ経営ガイドライン」を十分に遵守していたとしたら、国の基準を満たしていたにも関わらず発生した不幸な事故とみなされるでしょう。
一方、もしこの会社の経営が「サイバーセキュリティ経営ガイドライン」に注意を払わずセキュリティ対策を怠っていたとしたら、企業としての責任を果たさず顧客や取引先に被害を及ぼした事件として、最悪の場合には個人情報保護法にもとづく行政処分などの可能性も考えられます。
また、個人情報漏えいの被害者による損害賠償請求などに対しても、裁判所が適切な賠償額を決める際、「サイバーセキュリティ経営ガイドライン」に照らして企業が十分な責任を果たした上での事故だったのかどうかが、判断に大きく影響すると思われます。
企業としての責任、という言い方をすると、「サイバーセキュリティ経営ガイドライン」に対してネガティブな印象を持たれてしまうかもしれません。
しかし見方を変えると、「最低限、ここまでやれば責任を果たしていると胸を張ってよい」というお墨付きを与えてくれたということでもあります。
今後、企業は「サイバーセキュリティ経営ガイドライン」に十分な配慮をもって経営を行うことで、社会的に「サイバーセキュリティのリスクに十分な対処をしている企業」と見なして貰えることになります。
一例を挙げると、東京海上日動火災保険株式会社は2016年1月1日より、企業向けの「サイバーリスク保険」について「リスク評価割引」制度を設けました。
企業のサイバーセキュリティへの対応状況により保険料を割り引くというものですが、その評価は「サイバーセキュリティ経営ガイドライン」に沿った項目のヒアリングシートで行われるため、ガイドラインを満たしていれば保険料の割引を受けやすくなっています。
このほかにも今後、国・地方公共団体や国内の大企業の多くが、仕入れ先・業務委託先などの選定時のリスク評価として「サイバーセキュリティ経営ガイドライン」への準拠状況を参考にするのは間違いないでしょう。
つまり一口に言ってしまえば、「サイバーセキュリティ経営ガイドライン」は法的拘束力や罰則のある“ルール”ではありませんが、「この企業は安全に対して十分配慮しているか」「企業としての責任を果たしているか」という“物差し”(評価基準)となるものです。
企業としては今後、経営におけるリスク管理の一部として、自社がこの物差しに照らして十分なレベルを満たしているかどうか、自ら評価し律していくことが要求されているのです。
次回はこのガイドラインに沿った対応を行うにあたって、何をどこまでやればいいのか?といったよくあるご質問にお答えしていきます。
【本コラムに関連するサービス】
- ポリシ-策定、リスク管理体制構築、リスク把握・対応計画、PDCA関連支援
- セキュリティポリシー策定支援
- サイバー攻撃リスク分析/セキュリティ対策計画策定支援
- 情報セキュリティ監査サービス
- セキュリティ診断
- サイバー攻撃リスク分析/セキュリティ対策計画策定支援
- ネットワークセキュリティ診断
- ウェブアプリケーションセキュリティ診断
- ソースコードレビュー
- スマートフォンアプリケーション診断
- ウェブアプリケーションセキュリティ診断
- ITシステム セキュリティ追加対策支援
- 情報セキュリティ教材提供・教育研修実施
- 標的型メール対応訓練
- 情報セキュリティ教材提供・教育研修実施
- 緊急対応体制、被害発覚時体制の整備、最新情報収集・提供
- CSIRT構築・運用支援
- 情報セキュリティ・アドバイザリー・サービス
- システム・ネットワーク構築、運用監視サービス
- 情報セキュリティ・アドバイザリー・サービス
- InfoCIC Web感染型マルウェア検出サービス
- InfoCIC ネットワークセキュリティログ監視サービス
- InfoCIC ネットワークパケット監視分析サービス
- InfoCIC マルウェア検知サービス
- セキュリティ監視システム構築支援サービス
- セキュリティ監視サービス(JSOC)
- 統合ログ管理システム構築支援サービス
- InfoCIC ネットワークセキュリティログ監視サービス
** コラム執筆 **
株式会社インフォセック
プリンシパルコンサルタント 田中 洋
