『サイバーセキュリティ経営ガイドライン Ver3.0』の改訂内容と対策のポイント

経済産業省では、国内企業の経営者に向けて組織的にサイバーセキュリティ対策を実施する指針となる『サイバーセキュリティ経営ガイドライン Ver3.0』を公表しています。

過去にVer1.0、Ver2.0が公開されましたが、企業のセキュリティ対策を取り巻く環境に変化が生じていることを踏まえて、2023年にVer3.0への改訂が行われました。

企業の情報システム部門または管理部門では、業務基盤となるITインフラを安定稼働させるために、主な改訂内容やセキュリティ対策のポイントについて押さえておくことが重要です。

この記事では、サイバーセキュリティ経営ガイドライン Ver3.0の主な改訂内容と企業に求められるセキュリティ対策のポイントについて解説します。

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドライン（以下、ガイドライン）とは、サイバー攻撃から企業を守るために経営者が認識する必要がある事項や、情報セキュリティ対策を実施する責任者に指示する事項についてまとめたガイドラインです。

経済産業省が独立行政法人情報処理推進機構（IPA）と協力して、有識者や関係者による意見を踏まえて作成されており、企業におけるサイバーセキュリティ対策の指針として普及しています。

2015年にVer1.0、2017年にVer2.0が公開されて、2023年にVer3.0へと改訂が行われました。当ガイドラインは、“経営者が認識すべき3原則”と“サイバーセキュリティ経営の重要10項目”で構成されています。

▼経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要である。

(1)経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
（経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の事業継続のためのセキュリティ投資を実施すべきである。）

(2)サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
（自社のサイバーセキュリティ対策にとどまらず、在来形の部品調達などの形態や規模にとどまらないクラウドサービスの利用等のデジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識し、総合的なサイバーセキュリティ対策を実施すべきである。）

(3)平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要
（平時から社外の利害関係者（株主、顧客等）はもとより、社内の関係者（CIO等セキュリティ担当者、事業担当責任者等）に事業継続に加えてサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。）

引用元：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

▼サイバーセキュリティ経営の重要10項目

指示1：サイバーセキュリティリスクの認識、組織全体での対応方針の策定

指示2：サイバーセキュリティリスク管理体制の構築

指示3：サイバーセキュリティ対策のための資源（予算、人材等）確保

指示4：サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

指示5：サイバーセキュリティリスクに効果的に対応する仕組みの構築

指示6：PDCAサイクルによるサイバーセキュリティ対策の継続的改善

指示7：インシデント発生時の緊急対応体制の整備

指示8：インシデントによる被害に備えた事業継続・復旧体制の整備

指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

指示10：サイバーセキュリティに関する情報の収集、共有及び開示の促進

引用元：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

サイバーセキュリティ経営ガイドライン Ver3.0の改訂内容と背景

ガイドラインでは、主に巧妙化・多様化する最新のサイバー攻撃への対策とサプライチェーン全体での取り組みの強化について追記・修正されています。

▼主な改訂内容

• サプライチェーン全体を通したセキュリティ対策の必要性
• 最新のサイバー攻撃を踏まえたリスクの変化と、クラウドをはじめとする最新技術の留意点
• 事業継続のための整合性のとれた復旧計画・体制の整備やサプライチェーンを含めた演習の実施
• サプライチェーンでの対策の実効性を高めるための役割や責任の明確化
• セキュリティ被害の報告・公表をする備えとステークホルダーへの情報開示　など

改訂が行われた背景には、企業のセキュリティ対策を取り巻く環境の変化が挙げられます。

▼改訂が行われた背景

• テレワークに代表されるデジタル環境を用いた働き方の多様化
• サイバーセキュリティ対象の変化・拡大
• クラウドとオンプレミス環境のつながりによるリスクの顕在化
• ランサムウェアによる被害の顕在化と企業への影響拡大
• サプライチェーンを介したサイバーセキュリティ関連被害の拡大
• ESG（※）投資の拡大に伴うコーポレートガバナンス
• エンタープライズリスクマネジメントへの関心の高まり

※ESGとは、企業の長期的な成長と価値の向上を図るために欠かせない、環境（Environment）・社会（ Social）・ガバナンス（Governance）の3つの観点を取り入れた投資または事業活動のこと。

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』 『「サイバーセキュリティ経営ガイドライン」を改訂しました』

＞＞社内システム運用管理業務トータルサポートサービスに関する資料ダウンロードはこちら

ガイドラインを踏まえたセキュリティ対策のポイント

近年、デジタル環境が企業活動を行う基盤となっています。インシデントによる信用・コストの損失を防ぎ、安定した事業継続を行うには、リスクマネジメントの一環としてセキュリティ対策に取り組むことが必要です。

ここからは、ガイドラインの内容を踏まえて、情報システム部門や管理部門が行うセキュリティ対策のポイントについて解説します。

①サイバーセキュリティリスクの特定

企業の事業内容やデジタル環境によって、サイバーセキュリティのリスクは異なります。実態に沿った対策を行うためには、自社のデジタル環境を可視化して、サイバー攻撃の脅威や業務への影響度などを把握する必要があります。

その際は、社内だけでなくクラウドサービスの利用やテレワークの運用、サプライチェーン全体でのリスクも考慮することが重要です。

▼セキュリティリスクを特定するためのポイント

• 利用しているIT機器やソフトウェア、ネットワークの関連性を可視化する
• 情報資産の保存場所と保護が必要な情報を特定する
• リスクが顕在化する条件（クラウドサービスの利用、テレワークなど）を検討して、発生頻度と影響をランクづけする
• リスクの発生頻度や影響度に応じて、リスクを回避・低減・移転するための対策を検討する

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

②防御・検知・分析の仕組みを構築する

上記1で特定したリスクに対応するには、セキュリティの脅威から情報資産やシステムを保護するための技術的な対策が必要です。

サイバー攻撃の防御に加えて、インシデントの予兆を検知して要因を分析・特定できる環境を整えることで、被害の拡大を抑えられます。

▼防御・検知・分析の仕組みを構築するポイント

• スイッチやファイアウォールによってネットワークを分離する
• 重要な機密情報を取り扱う際には、暗号化・電子署名・多要素認証などの仕組みを導入する
• クラウドサービスを利用する際はアクセス制限やID管理を行う
• 稼働状況の監視や脅威の予兆を検知する監視ツールを導入する

なお、社内システムのID管理や監視についてはこちらの記事で解説しています。

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

③事業継続と復旧対応の体制を整備する

インシデントが発生した場合に備えて、事業活動を継続できる仕組みや速やかな初動対応と復旧を行える体制を整備します。

社内での対応フローや復旧の作業手順書を作成するとともに、サプライチェーンを含めた対応体制を整備することが重要です。

▼事業継続と復旧対応の体制を構築するポイント

• BCP（事業継続計画）を作成して、バックアップの取得とネットワーク・サーバ・システムなどの代替手段を整備する
• 要因の特定と解析を速やかに行うために、ログや端末の証拠保全を行い、関係機関と連携して調査を行える体制を整備する
• システム運用担当やベンダーなど、社内外を含む緊急連絡先をメンバーに共有して初動対応の取り決めを行う
• 再発防止策を策定して、定期的に社内やサプライチェーン全体での演習を実施する

なお、システム障害への対応フローについてはこちらをご確認ください。

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

④サプライチェーン全体でリスクの把握と対策を推進する

サプライチェーン全体でセキュリティ対策が行われるように、取引企業やシステム運用委託事業者などを含めてリスクを把握して、役割と責任を明確にする必要があります。

近年、サプライチェーンを介したセキュリティの被害が拡大しており、外部の事業者を踏み台にして自社が攻撃されるリスクがあります。

自社で対応する範囲と外部の事業者が対応する範囲を明確にして、対策の漏れや形骸化が起こらないようにすることが重要です。

▼リスクの把握と対策を推進するときのポイント

• サプライチェーンに含まれる事業者と合意のうえで、各企業が実施するセキュリティ対策を定めて、監査・自己点検を行う仕組みを構築する
• 契約書にセキュリティ対策の責任主体を明記して各企業が担う役割を定める
• インシデントに備えて、委託先に起因するセキュリティの被害を補償するサイバー保険への加入を推奨する
• セキュリティ対策の実効性を担保するために、第三者による認証制度や監査を実施する

サプライチェーンの取引先からのセキュリティ対策に関する要請に対応しない場合には、取引を継続できなくなるリスクもあるため、注意が必要です。

​​​​​​​

出典：経済産業省『サイバーセキュリティ経営ガイドライン Ver 3.0』

＞＞障害対応に備えていますか？システム障害を未然に防ぐ・迅速に復旧する方法とアウトソーシングするメリット

まとめ

この記事では、サイバーセキュリティ経営ガイドラインについて以下の内容を解説しました。

• サイバーセキュリティ経営ガイドラインの概要
• サイバーセキュリティ経営ガイドライン Ver3.0 の改訂内容と背景
• ガイドラインを踏まえたセキュリティ対策のポイント

デジタル化による働き方の多様化やクラウドサービスの普及など、企業のセキュリティ対策を取り巻く環境が変化したことで、新たなセキュリティリスクが懸念されています。

企業の情報資産やシステムを守り事業を継続させるには、最新のガイドラインに基づいたセキュリティ対策が求められます。社内における技術的な対策と復旧体制の整備を行うとともに、サプライチェーン全体での役割と責任を明確にして取り組むことがポイントです。

『FGLテクノソリューションズ』の社内システム運用サービスでは、ITインフラの保守運用管理や死活監視、障害対応などの幅広い業務のサポートを行っております。安定したIT環境の整備やセキュリティ対策の強化を図りたい方は、ぜひお問い合わせください。

サービスの詳細については、こちらから資料をダウンロードしていただけます。