Closed6

サイバーセキュリティ経営ガイドライン Ver 3.0を読む

Sota SugiuraSota Sugiura

サイバーセキュリティ経営ガイドライン Ver3.0 の策定にあたって

  • 基本的な構成
    • 経営者が認識すべき3原則
    • サイバーセキュリティ経営の重要10項目

7年前とは働き方や攻撃のトレンドも変わってるのでそれに合わせて改定したよー

サイバーセキュリティ経営ガイドライン・概要

I.企業リスクマネジメントの一部としてのサイバーセキュリティ

気になるものをピック

被害が深刻な場合の事業停止や新たな脅威に対処するための予算措置等の経営判断も要求され、担当者への丸投げは許されるものではない。

強い

サイバーセキュリティ対策は「投資」(将来の事業活動・成長に必須な費用)4と
位置付けることが重要である。

企業活動におけるコストや損失を減らすために必要不可欠な投資

これはどこも苦労する観点だと思うので言及してくれるのは嬉しい

II.経営者が認識すべき3原則

  1. 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
  2. サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
  3. 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

そんなに難しいことは書いてない。
サプライチェーン全体に対する観点を持つ、というのは確かに究極的には経営者がやるのが一番全体観を掴める部分かも?と思いつつ、大きくなったら移譲していかないとやってられんという話もありそう。

III.サイバーセキュリティ経営の重要10項目

単なる指示ではなく、リーダーシップを発揮することが含まれる。

Sota SugiuraSota Sugiura

1. はじめに

1.1 サイバーセキュリティ経営ガイドラインの背景と位置づけ

(1) サイバーセキュリティを包含するリスクマネジメントの必要性

  • 企業活動とITシステム等は切っても切れない
  • 企業の規模に関わらずサイバーセキュリティのリスクを考慮して企業活動する必要がある
  • リスクが顕在化したら損失が生まれますよ(図で試算例が書いてある)

(2) 本ガイドラインの対象者と責任

経営者(CEO)、経営者から支持を受けてサイバーセキュリティ対策の実践に責任を持つ人(CISO等)を第一の想定読者としている。
CISOを補佐する実務者の利用も考慮する(ワイです 🙋)。

実務上、以下の判断が求められることから経営者からCISO等責任者への丸投げは許されない。

  • 被害が深刻な場合の経営判断
    • 例えば被害範囲によっては事業の中止等を迫られる
  • リスクの変化に対応する経営判断
    • サイバーセキュリティリスクの変化スピードははやい
    • それにともな対策の見直しやそれに必要な予算措置等が必要

(3) 本ガイドラインで想定する企業

大企業及び中小企業(小規模事業者を除く)を想定した記述を行っている。

小規模事業者の定義は下記らしい。大体の企業は対象となると考えていい。

サプライチェーンへの影響を考えると経済安全保障の観点で責任の重さが変わることは読者側で留意する必要あり。

(4) 本ガイドラインの位置付け

こんな感じの関係

1.2 本ガイドラインの構成と活用方法

ガイドラインの構成について。割愛。

Sota SugiuraSota Sugiura

2. 経営者が認識すべき3原則

(1)経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

(見出し長いな)

  • サイバーセキュリティのリスク、事業影響やそれによる損失等
  • また、それにより情報漏洩や事業継続性が損なわれる場合には人命への影響、法令違反等が発生する可能性もありそこへの対応が会社の命運を分ける
  • これを踏まえてサイバーセキュリティリスクを経営上の多様なリスク(災害、為替変動等々)の1つとして捉え、担当幹部(CISO等)を任命し自らリーダーシップを発揮して対策を推進する必要がある

(2)サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

大体見出しの通り

(3)平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

有事の際にコミュニケーションが取れるよう、平時からの準備やコミュニケーションが大事。

Sota SugiuraSota Sugiura

3. サイバーセキュリティ経営の重要10項目

経営者はこの10項目をCISO等に支持を出して進める必要がある。また、支持出しだけではなく各プロセスを通してリーダーシップを発揮する必要がある。

各項目について対策を怠った場合のシナリオと対策例について言及されてる。割愛。

Sota SugiuraSota Sugiura

感想

セキュリティの仕事それなりにやっていればそこまでびっくり情報はない
経営目線で「うちの会社のセキュリティ大丈夫かな?」と思った時にこの10項目の観点で評価してもらえると経営 <-> 現場で健全なfeedback loopを回せるんじゃないかと思った

このスクラップは2024/12/05にクローズされました