「サイバーセキュリティ経営ガイドライン」が企業に要求するもの(第2回) ~ 何をすればいいの? ~

前回に続き、サイバーセキュリティ経営ガイドラインについて、企業として具体的に実施すべき事柄を見ていきます。


第1回コラムはこちらです。
「サイバーセキュリティ経営ガイドライン」が企業に要求するもの(第1回) ~ 何ものなのか? どんな影響があるの? ~


●「何をすればいいの?」 ~ 企業が実施すべき対策

ガイドラインでは、企業において実施すべき対策として以下の「重要10項目」が挙げられています。

  • ① サイバーセキュリティリスクの認識、組織全体での対応の策定
  • ② サイバーセキュリティリスク管理体制の構築
  • ③ サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
  • ④ サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
  • ⑤ 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
  • ⑥ サイバーセキュリティ対策のための資源(予算、人材等)確保
  • ⑦ ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
  • ⑧ 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
  • ⑨ 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT※)の整備、定期的かつ実践的な演習の実施
  • ⑩ 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
  • ※ Computer Security Incident Response Team の略

これらの「重要10項目」の実施状況は「付録A サイバーセキュリティ経営チェックシート」を利用して自社で確認できるようになっています。まずは、このチェックシートにある32のチェック項目を基に自社の対策実施状況を確認するとよいでしょう。

またガイドライン本文では、これらの項目について「質問」「対策を怠った場合のシナリオ」「対策例」の構成ですべき対策を分かりやすく例示しています。必要に応じて本文を参照しながらチェックを行ってください。

チェックシートは技術的文言をできるだけ使わないように配慮されており、平易な文言で記載されています。しかし、なかにはどこまで対策を実施すればいいのか少し戸惑ってしまうチェック項目があります。
そこで今回は、ご質問を受けることがある項目をいくつか取り上げ、Q&A方式で解説していきます。

  • ① サイバーセキュリティリスクの認識、組織全体での対応の策定
  • □経営者が、組織全体でのサイバーセキュリティリスクに対する対応方針(セキュリティポリシー)を策定し、宣言している

Q:「対応方針(セキュリティポリシー)」には何を書けばいいのですか?

A:セキュリティポリシーには最低限、経営者として「3原則に則って、サイバーセキュリティを経営リスクとして認識し対応している」という旨を書くといいでしょう。
セキュリティポリシーは経営者の「自社のセキュリティに対する考え方」を表明するものです。
したがって、ガイドラインの3原則をそのまま記載するのではなく、自社に合わせた文言に置き換えてセキュリティポリシーとして策定して、経営者名義で社内外への宣言(ホームページでの公開など)をするとよいでしょう。

  • ② サイバーセキュリティリスク管理体制の構築
  • □組織の対応方針(セキュリティポリシー)に基づき、CISO等からなるサイバーセキュリティリスク管理体制が構築されている

「サイバーセキュリティリスク管理体制」って何をすればいいのですか?

A:本ガイドラインでは、経営者の関与を強く推奨していますので、情報システム部など一部門内の組織としてではなく、全社的な組織でサイバーセキュリティリスクが議論されるようにすることで十分な体制となります。
既にリスク管理委員会等の全社リスク管理体制がある企業では、リスク管理委員会のテーマの1つに「サイバーセキュリティリスク」を盛り込み、担当幹部を任命して委員会での報告・審議を行うことが、もっとも単純かつ効果的な方法でしょう。
例えば、地震等の災害(ハザードリスク)に備えるリスク管理体制は、全社的な対応が求められるため経営直轄の体制であることが多いと思います。
「3原則」では、サイバーセキュリティリスクは経営リスクのひとつとして認識すべきと位置付けられていますので、ハザードリスクと同様に経営直轄の体制の下で運用するとよいでしょう。

  • ③サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
  • □守るべき資産を特定している
  • □特定した守るべき資産に対するサイバー攻撃の脅威を識別し、経営戦略を踏まえたリスクとして把握している
  • □サイバーセキュリティリスクが事業にいかなる影響があるかを推定している
  • □サイバーセキュリティリスクの影響の度合いに従って、低減、回避のための目標や計画を策定している
  • □サイバーセキュリティリスクの影響の度合いに従って対策を取らないと判断したものを受容または残留リスクとして識別している
  • □残留リスクの移転策(サイバー保険の活用や守るべき資産について専門企業への委託等)を実施している

Q:「リスクの把握」や「計画の策定」など、外部の会社にすべて頼っていいのですか?

A:専門的知識を持った外部のセキュリティ会社を活用することは有効な方法ですが、6つのチェック項目すべてを外部の会社のみで実施することはできません。
経営戦略上の守るべき資産や必要な人材・予算付与等、経営の視点から決定すべき事項については、外部のコンサルタントによる助言は可能ですが、最終的には自社で判断する必要があります。
どの程度までのセキュリティレベルを実現するかの目標と計画の策定について、Fit&Gap分析やロードマップの策定等を専門のコンサルタントが支援することによって、最新の脅威情報や対策ノウハウを踏まえた内容になります。しかし、実装する対策の優先順位や予算についてまで外部の会社に丸投げしてしまうと、せっかくの対策目標や計画が絵に描いた餅となりかねません。
外部のコンサルタントを活用する場合でも、経営の意思が反映できるよう、対策を実施する責任者(CISO等)の積極的な関与が肝要です。

  • ④ サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
  • □サイバーセキュリティにかかる外部監査を実施している

Q:外部監査の実施とは、外部の機関に監査を依頼する必要があるのですか?

A:ガイドラインでは専門的な知識を持つ人材による監査を求めていますが、必ずしも「外部機関による監査」が必須ではありません。
自社内に専門的な知識を持つ人材がいれば、自社による監査で構いません。
また、いわゆる「監査」の形式ではなく、「リスクアセスメント」や「対策状況調査・評価」などを外部のセキュリティ会社に依頼してもよいでしょう。
なお、ガイドラインの「付録B 望ましい技術対策と参考文献」には、ISMSの導入も例示されておりますが、必ずしもISMS認証を取得しなければならないというわけではありません。
本対策の目的はPDCAサイクルを適切に回すことにあります。PDCAサイクルを回す際に、セキュリティ対策状況の改善点を洗い出すために監査を受けましょうという内容ですので、前項で作成したロードマップや、付録Bに記載されている参考文献をもとに内部監査を実施しても構いませんし、外部の会社にリスクアセスメントを依頼しても構いません。
チェックシートの他の項目の実施状況を含め、自社でしっかり運用を行える体制が整っていれば、内部監査で事足りるのではないでしょうか。

  • ⑨ 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
  • □サイバーインシデント対応の専門チーム(CSIRT等)が設置されている

Q:「サイバーインシデント対応の専門チーム(CSIRT等)」の整備って何をすればいいのですか?

A:サイバーインシデント対応の専門チーム(「CSIRT」と呼ばれます)を整備する必要がありますが、CSIRTには様々な機能(役割)があり、その全ての機能が実装されていなければいけないわけではありません。
全部の機能を実装するとなると相応の時間、費用、人材が必要となるため、機能を絞ることで、スモールスタートでCSIRTを整備することも可能です。
その場合は、どのようなCSIRTを整備するか(目標)、いつまでに目標の形に到達するか(計画)を明確にする必要があります。「CSIRT」という名前を掲げただけで、目標も計画もない体制では実際のインシデントが発生した際に有効に機能しない体制になりがちです。
したがって、まずはCSIRTの当初の機能・対応範囲を明確に決めること。そして中期的な目標・計画をたてて人員・予算を割り当てることが、有効なCSIRTの整備のための必須事項となるでしょう。

以上、「重要10項目」のチェックシートについて、よくあるご質問についてご説明しました。
前回のコラムでも触れましたが、サイバーセキュリティ基本法の成立、今回のサイバーセキュリティ経営ガイドラインの公表と続き、経団連からもサイバーセキュリティ対策の強化に向けた第二次提言が出されるなど、企業としてサイバーセキュリティリスクにどのように向き合っていくのかが問われる時代になっています。
本ガイドラインは最低限の対策ラインと捉え、チェックシートによる確認と実施を速やかに行うことが企業としての責任です。最後に「サイバーセキュリティ経営の3原則」のひとつめの原則を引用して本コラムを締めくくります。

    経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

経済産業省サイト
「サイバーセキュリティ経営ガイドラインVer 1.0(PDFファイル)」
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf

経団連サイト
「サイバーセキュリティ対策の強化に向けた第二次提言」
https://www.keidanren.or.jp/policy/2016/006_honbun.html

【本コラムに関連するサービス】

ポリシ-策定、リスク管理体制構築、リスク把握・対応計画、PDCA関連支援

セキュリティポリシー策定支援
サイバー攻撃リスク分析/セキュリティ対策計画策定支援
情報セキュリティ監査サービス
セキュリティ診断
ネットワークセキュリティ診断
ウェブアプリケーションセキュリティ診断
ソースコードレビュー
スマートフォンアプリケーション診断
ITシステム セキュリティ追加対策支援

緊急対応体制、被害発覚時体制の整備、最新情報収集・提供

CSIRT構築・運用支援
情報セキュリティ・アドバイザリー・サービス
システム・ネットワーク構築、運用監視サービス
InfoCIC Web感染型マルウェア検出サービス
InfoCIC ネットワークセキュリティログ監視サービス
InfoCIC ネットワークパケット監視分析サービス
InfoCIC マルウェア検知サービス
セキュリティ監視システム構築支援サービス
セキュリティ監視サービス(JSOC)
統合ログ管理システム構築支援サービス

** コラム執筆 **
株式会社インフォセック
プリンシパルコンサルタント 田中 洋
コンサルタント 佐野 健一