サイバーセキュリティ経営ガイドライン
ISO27001
昨年(2015年)12月28日に経済産業省とIPA(情報処理推進機構)が公表した「サイバーセキュリティ経営ガイドライン」をご存知でしょうか?
これは2014年のサイバーセキュリティ基本法の成立を背景に、国として経営者に向けて打ち出す、初めての指針となります。
企業経営においてIT活用の重要性が増す一方、サイバー攻撃が企業経営へ与えるインパクトも大きくなっているとして、企業の経営者に向けて、サイバー攻撃から企業を守るために経営者が認識する必要のある「3原則」、および経営者として、実際に対策を実施する責任者に対して指示を出す「重要10項目」をガイドラインとしてまとめたものです。
「サイバーセキュリティ経営ガイドラインを策定しました」
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
「サイバーセキュリティ経営ガイドラインVer 1.0(PDFファイル)」
http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf
本ガイドラインの構成は以下の通りです。
サイバーセキュリティ経営ガイドライン・概要
1.はじめに
2.サイバーセキュリティ経営の3原則
3.サイバーセキュリティ経営の重要10項目
【付録】
(A)サイバーセキュリティ経営チェックシート
(B)望ましい技術対策
(C)国際規格 ISO/IEC27001 及ひ? 27002 との関係
(D)用語の定義
このガイドラインは、法的拘束力のない文書です。ですから企業としてこのガイドラインを、あくまで参考になる読み物にすぎないものと捉えがちです。しかし、このガイドラインは、サイバーセキュリティ基本法(2014年11月成立)が示す方針の下、国が経済社会の発展のため企業に求める事柄を経営者に明示したものですので、見方を変えると、「最低限、ここまでやれば責任を果たしていると胸を張ってよい」というお墨付きを与えてくれたといえます。
では、企業はこのガイドラインに沿って何をすべきなのでしょうか?
セキュリティ経営に求められているのは、経営者が適切に判断するための情報であり、その情報を収集する基盤づくりです。この基盤はセキュリティのためだけに作るのではなく、ITパフォーマンス評価や、人事考課など、さまざまな判断に使える情報を収集する基盤として構築され、それによってセキュリティリスクを経営リスクと捉えることができるような環境となるべきなのです。
そのためには本ガイドラインの「サイバーセキュリティ経営ガイドライン・概要」と「1.はじめに(1~3ページ)」を資料にして、経営者と情報セキュリティ担当者とで現在の取り組みについて話し合い、短期間の情報セキュリティの目標について取り決めをするところから始めてみてはいかがでしょうか。
また、その際、「付録A サイバーセキュリティ経営チェックシート」を基に自社の対策実施状況を確認するのもよいと思います。
サイバーセキュリティ基本法の成立、今回のサイバーセキュリティ経営ガイドラインの公表と続き、経団連からもサイバーセキュリティ対策の強化に向けた第二次提言※が出されるなど、企業としてサイバーセキュリティリスクにどのように向き合っていくのかが問われる時代になっています。
本ガイドラインは最低限の対策ラインと捉え、チェックシートによる確認と実施を速やかに行うことが企業としての責任ではないでしょうか。
※一般社団法人 日本経済団体連合会サイト
「サイバーセキュリティ対策の強化に向けた第二次提言」
https://www.keidanren.or.jp/policy/2016/006_honbun.html