経産省「サイバーセキュリティ経営ガイドライン」を中小企業向けに読み解く ― 経営者がやるべき10項目
経済産業省が策定した「サイバーセキュリティ経営ガイドライン」は、企業の経営者がサイバーセキュリティにどう取り組むべきかを示した指針です。しかし、原文は大企業を想定した記述が多く、中小企業の経営者にとっては「で、うちは何をすればいいのか?」が見えにくい内容です。
本記事では、ガイドラインの要点を中小企業の言葉に翻訳し、実践可能なアクションに落とし込みます。
経営者が認識すべき3原則
原則1:サイバーセキュリティは経営課題
セキュリティ対策は「IT部門の仕事」ではなく、経営層がリーダーシップを取って進めるべき経営課題です。情報漏えいやランサムウェア被害が発生した場合、最終的な責任は経営者にあります。
中小企業の経営者が最低限把握すべきことは、自社がどのようなサイバーリスクを抱えているか、そのリスクに対してどの程度の対策ができているか、万が一事故が起きた場合の影響範囲はどの程度か、の3点です。
原則2:サプライチェーン全体を考慮する
自社だけでなく、取引先や委託先を含むサプライチェーン全体のセキュリティを考慮する必要があります。中小企業は大企業のサプライチェーンの一部であることが多く、自社のセキュリティの脆弱さが取引先への攻撃の踏み台になるリスクがあります。
実際に、大企業の取引先選定において「セキュリティ体制」が評価項目に含まれるケースが増えています。
原則3:関係者との積極的なコミュニケーション
セキュリティに関する方針や対策状況を、社員・取引先・顧客に対して適切に開示することが求められています。
経営者が指示すべき10項目(中小企業版)
ガイドラインでは、経営者がCISO(最高情報セキュリティ責任者)等に指示すべき10項目が定められています。中小企業ではCISOが不在の場合がほとんどですが、IT担当者やアウトソーシング先に対して以下を指示・確認してください。
項目1:リスク管理体制の構築
やるべきこと: セキュリティに関する責任者を明確にする。中小企業では「IT担当者=セキュリティ責任者」で構いませんが、「セキュリティは誰の責任か」を社内で明確にすることが重要です。
項目2:リスクの特定と対策の策定
やるべきこと: 自社の「守るべき情報資産」を洗い出し、それに対するリスク(漏えい、消失、改ざん)と対策の状況を一覧化する。完璧なリスクアセスメントは不要で、まずは「顧客情報」「財務情報」「知的財産」の3つについて確認するだけでも大きな前進です。
項目3:対策の実装と予算・人材の確保
やるべきこと: IT予算のうち15〜20%をセキュリティに充てる方針を決める。人材が不足している場合は、セキュリティ運用のアウトソーシングを検討する。
項目4:PDCAサイクルの実施
やるべきこと: セキュリティ対策の状況を年1回レビューし、改善点を洗い出す。外部のセキュリティ診断(脆弱性診断)を年1回実施することも有効です。
項目5:サプライチェーンのセキュリティ管理
やるべきこと: 業務委託先(IT業者、クラウドサービス等)のセキュリティ体制を確認する。委託契約にセキュリティ要件を含める。
項目6:インシデント対応体制の整備
やるべきこと: セキュリティ事故が発生した場合の対応フロー(誰に連絡し、何を行うか)を文書化する。年1回の机上演習を実施する。
項目7:事業継続計画(BCP)との連携
やるべきこと: ランサムウェア感染や大規模障害が発生した場合に、いつまでに業務を復旧させるか(RTO)を定め、そのためのバックアップ体制を整える。
項目8:被害時の情報開示と共有
やるべきこと: セキュリティ事故発生時の対外的な情報開示の方針を事前に決めておく。
項目9:人材の育成
やるべきこと: 全社員向けのセキュリティ研修を年1回以上実施する。IT担当者向けには、外部研修や資格取得支援も検討する。
項目10:情報共有への参加
やるべきこと: IPAやJPCERT/CCが発信するセキュリティ情報を定期的にチェックする。業界団体のセキュリティ情報共有活動に参加する。
まとめ
サイバーセキュリティ経営ガイドラインの本質は、「セキュリティはIT部門の問題ではなく、経営の問題である」ということです。すべての項目を一度に実施する必要はありませんが、経営者がセキュリティを自分ごととして捉え、段階的に取り組みを進めることが重要です。
情シス365のConsult365(IT戦略コンサルティング)では、ガイドラインに沿ったセキュリティ体制のアセスメントと改善提案を行っています。無料ヒアリングからお気軽にどうぞ。