「サイバーセキュリティ経営ガイドライン Ver.2.0」が2017年11月16日(木)に経済産業省より公開されています。
「サイバーセキュリティ経営ガイドライン」は経済産業省が2015年12月に策定したもので、経営者がリーダーシップをとってサイバーセキュリティ教育を推進する指針として、経済産業省が情報処理推進機構(IPA)と協力して策定したものです。
2015年12月に公開されたのち、2016年12月にVer.1.1として改訂版が出ており、2017年11月にVer.2.0としてバージョンアップしました。
では、2017年のバージョンアップで大きく変更があったものはどのようなものでしょうか?
まずはじめに注目すべきなのは、サイバーセキュリティ経営ガイドラインの概要部分に記載のあった、経営者の責任に関する言及が修正されたことです。
サイバーセキュリティ経営ガイドライン Ver1.0及び1.1での記述
サイバーセキュリティ経営ガイドライン Ver2.0での記述
サイバーセキュリティ経営ガイドラインでは以前から経営者の責任に関する記述がありましたが、「経営責任が問われることもある」という内容から「経営責任や法的責任が問われる可能性がある」といった非常に強い文言に変更されています。
このような変更から、国としても法的措置を検討していく姿勢であると捉えることもでき、より一層のセキュリティ投資や見直しが必要と言えるでしょう。
サイバーセキュリティ経営の重要10項目の一つである、「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」に「攻撃の検知」に関する記述が追加されました。
検知に関してはVer.1.1では記載がありませんでしたが、Ver.2.0で追加されたことで、よりサイバー攻撃対策への指標が明確化されたように感じますね。
具体的な対策例として、アクセスログや通信ログからサイバー攻撃を監視・検知する仕組みを構築するという指示が記載されています。
アクセスログや通信ログをもとにサイバー攻撃を監視することは専門のスキルを持つ人材を必要とするため即時の対応は難しいですが、外部ツールを用いることで対応することが可能です。
「指示8 インシデントによる被害に備えた復旧体制の整備」では、サイバー攻撃によって業務停止が発生した場合の復旧体制について記載されています。
企業経営への影響を考慮して、いつ復旧するべきかを整備する必要があり、復旧へ向けた計画を立て、手順書や体制を整えることを勧めています。
また、業務停止になった場合を考え、復旧への実践的な演習を実施するべきと述べています。
対策を怠った場合についても記載されており、対策を怠ることによって企業経営に致命的なダメージを与える恐れがあることと、演習を実施しないと不測の事態が起こった場合に適切な行動をとることができないことが記されています。
対策例として、サイバー攻撃によって業務停止になったとき、関係機関と連携して速やかに復旧作業に取りかかれるようにするというものがありました。
そのためにも日頃から、担当者は復旧手順に従い演習を実施すると良いでしょう。
また、復旧作業において、いつまでに復旧するべきなのかを組織全体で整合をとるという対策例も記載されていました。
「指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」では、委託先や系列企業のセキュリティ対策や取り組みの状況を把握する、という指示の内容を類似項目と合わせて整理しました。
系列企業、サプライチェーンをはじめとしたビジネスパートナーのセキュリティ対策が適切に行われていない場合、それらの企業を踏み台にした攻撃が発生すること、加害者になる可能性があることが記されています。
こういったことがあると、自社にとって事業継続に支障が生じるともありました。
また、システム管理といった委託先と自社との管理境界が曖昧になると対策漏れが生じる可能性があるとして、境界の切り分けも必要だと述べています。
具体的な対策例として、系列企業、サプライチェーンといったビジネスパートナーや委託先のサイバーセキュリティ対策を明確にした上で契約を行うべきと記載しています。
ほかにも、個人情報や技術情報といった重要な情報を委託先に預ける場合、情報の安全性が確保できるかを定期的に確認するとも記されています。
委託先やビジネスパートナーとのセキュリティ対策の連携が重要であることが明確化されました。
セキュリティ対策を行っていたにもかかわらず、インシデントが発生した場合どうやって情報を整理し、報告するべきかを記した付録が新たに追加されました。
インシデント発生時、原因調査を行うことになるわけですが、情報が錯綜すると問題解決に時間がかかり企業の信用度は落ちていくばかりです。
速やかにインシデントを解決し、関係各所に報告を行うためにも状況に応じて情報を整理する必要があるでしょう。
これらを早期解決するための参考資料となっていますので、万が一インシデントが発生した場合はこの資料に沿って情報を整理してみてはいかがでしょうか。
この付録はサイバーセキュリティ経営ガイドラインページからダウンロードすることができます。
是非とも活用してみましょう。
ver.2.0の改定で、以前よりも対策をしなかった場合どういった事象が発生するか、対策方法の例にはどんなものがあるかが明確になりました。
サイバー攻撃は年々巧妙化し、防御が難しいばかりでなく攻撃を受けていることに気がつくことが遅れてしまうケースが増えています。
さらに日本の企業は諸外国に比べて、サイバー攻撃による事件の発覚に時間がかかる傾向があり、日本企業のセキュリティ対策は企業運営の大きな課題の一つです。
サイバーセキュリティ対策を行わないことで、経営責任や法的責任が問われる可能性があることも念頭に置くべきです。
セキュリティ対策の実施をコストとして捉えるのではなく、将来のために必要な投資であると捉えることが重要ですね。
この「サイバーセキュリティ経営ガイドライン」をもとに、企業の経営者は自身の責務であることを理解し、自社のセキュリティ対策への指針を決めて行動に移すべきでしょう。
新しくなった「サイバーセキュリティ経営ガイドライン」を是非とも読んでみてください。
Webセキュリティ対策としておススメなのが「WAF」の導入です。
WAFには色々なものがありますが、その中でもクラウド型WAFであれば、コストや手間も少なくセキュリティ対策することができます。
クラウド型のWAFは導入ハードルが極めて低いので、これからWebセキュリティ対策を行う企業様には有力な選択肢となります。WAFを選定する時には、サポート体制や導入実績なども重視して、自社に最適なものを選びましょう。
クラウド型WAF「攻撃遮断くん」は、最新の攻撃パターンにも自動的に対応していくため、セキュリティパッチをすぐに適用できない状況や、定期的に脆弱性診断が出来ない状況でも、セキュアな環境を保てます。
ぜひこの機会にWebセキュリティ対策を見直し、WAFの導入を検討してみてください。
「攻撃遮断くん」の詳細資料は、こちらからダウンロード頂けます。
(2017/12/14執筆、2020/3/21修正・加筆)
この記事と一緒に読まれています
あなたの企業は大丈夫?中小企業の情報セキュリティ対策の実態とは?-その1-
2019.09.10
セキュリティ対策
あなたの企業は大丈夫?中小企業の情報セキュリティ対策の実態とは?-その2-
2019.09.11
セキュリティ対策
2019.11.22
用語集
2020.03.13
用語集
2020.03.08
用語集