重要10項目とは
| リーダーシップの表明と体制の構築 |
1 |
サイバーセキュリティリスクの認識、組織全体での対応の策定 |
|
2 |
サイバーセキュリティ管理体制の構築 | |
| リスク管理の枠組み決定 |
3 |
リスクの把握と対応計画の策定 |
|
4 |
PDCAサイクルの実施と対策状況の開示 | |
|
5 |
系列企業・ビジネスパートナーの対策実施および状況把握 | |
| 攻撃を防ぐための事前の対策 |
6 |
予算確保・人材配置および育成 |
|
7 |
ITシステム管理の外部委託 | |
|
8 |
情報収集と情報共有 | |
| 攻撃を受けた場合に備えた準備 |
9 |
緊急時対応体制の整備とトレーニングの実施 |
|
10 |
被害発覚後の必要な情報の把握、開示体制の整備 |
| 重要項目1 | サイバーセキュリティリスクの認識、組織全体での対応の策定 |
|---|
POINT1:なぜ重要か?
経営者がサイバー攻撃を経営リスクとして対処することを宣言することにより、全ての従業員にサイバーセキュリティ対策の重要性を周知させることができます。
経営者のサイバーセキュリティ対策宣言は、顧客、取引先、株主などの信頼性を高め、ブランド価値向上につながります。
POINT2:やるべきことはこれだ!
- セキュリティポリシーを作成する。
セキュリティポリシーの作成には、情報処理推進機構(IPA)から、自社の事情に応じた内容に書き換えて作成することができるサンプルが提供されています。 - セキュリティポリシーを、顧客、取引先、株主などに宣言する。
⇒ 情報セキュリティポリシー作成手順 P128
⇒ 情報セキュリティポリシーサンプルを使った作成手順 P180~183
| 重要項目2 | サイバーセキュリティ管理体制の構築 |
|---|
POINT1:なぜ重要か?
仮にサイバー攻撃を受け、事業の継続性に支障が生じるようなシステム停止の判断が必要な局面で、サイバーセキュリティ管理体制を構築していない場合、経営者の判断を仰ぐしかないため、迅速に適切な対応ができない上に、責任の所在が不明確になります。
POINT2:やるべきことはこれだ!
- 組織内に経営者レベルの権限を持った責任者を任命する。
- 責任者を中心としたサイバーセキュリティ管理体制を構築する。
- サイバーセキュリティ管理体制において各関係者の責任を明確にする。
| 重要項目3 | リスクの把握と対応計画の策定 |
|---|
POINT1:なぜ重要か?
企業の守るべき資産(個人情報や重要技術など)を把握していないと、直面するリスクを的確に把握できません。過度なリスク対策は、日常的なITの利活用を妨げ、事業活動に支障をきたす恐れがあります。
また、企業として容認できない残留リスクが残る場合、想定外の損失を被る恐れがあります。
POINT2:やるべきことはこれだ!
- 企業の守るべき資産(個人情報や重要技術など)を決める。
- サイバー攻撃の手口や脅威、被害状況を把握する。
- サイバーセキュリティリスクが事業に及ぼす影響を想定し、リスクを把握する。
- サイバーセキュリティリスクの影響の度合いに応じてリスク対策の目標や計画を策定する。また、許容できるリスクとして対策を講じないと判断したものを残留リスクとする。
| 重要項目4 | PDCAサイクルの実施と対策状況の開示 |
|---|
POINT1:なぜ重要か?
PDCAサイクルを実施しないと、環境の変化に合わせて、絶えずサイバーセキュリティ対策の見直しと改善を進めることができません。
適切なセキュリティ対策の状況開示が行われなかった場合、ステークホルダーの不安感や不信感を引き起こすことになり、企業価値が損なわれる恐れがあります。
POINT2:やるべきことはこれだ!
- サイバー攻撃のリスクに対応したPDCAを実施できる体制を整備する。
- 常に自社のサイバーセキュリティ対策の状況を把握し、必要に応じて経営者が改善のための指示をする。
- セキュリティ上の新たなリスクがあった場合は、必要な情報を適切に開示する。
| 重要項目5 | 系列企業・ビジネスパートナーの対策実施および状況把握 |
|---|
POINT1:なぜ重要か?
系列企業やサプライチェーンのビジネスパートナーにおいて適切なサイバーセキュリティ対策が行われていないと、これらの企業を踏み台にして自社が攻撃されることもあります。その結果、他社の二次被害の誘因となる恐れや、加害者になる恐れもあります。
また、緊急時の原因特定などの際に、これらの企業からの協力を得られないことにより事業継続に支障が生じます。
POINT2:やるべきことはこれだ!
系列企業やサプライチェーンといったビジネスパートナーを含めたサイバーセキュリティ対策について、内容を契約書、報告書などで確認し状況を把握します。
| 重要項目6 | 予算確保・人材配置および育成 |
|---|
POINT1:なぜ重要か?
適切な予算が確保できていない場合、会社内でのサイバーセキュリティ対策の実施や人材の確保が困難となるほか、信頼できる外部専門会社への委託が困難となる恐れがあります。
POINT2:やるべきことはこれだ!
- サイバーセキュリティ対策を実施するために必要な予算を確保する。
- 必要となる人材の確保や、継続的な社員教育を実施する。
| 重要項目7 | ITシステム管理の外部委託 |
|---|
POINT1:なぜ重要か?
ITシステムなどの運用について、自社に技術的な能力が欠ける場合はシステム管理を十分に行えず、システムの脆弱性を突いた攻撃を受ける恐れが高まります。
POINT2:やるべきことはこれだ!
- 自社で実施すべき対策を把握する。
- 自社で対策できるリソースがない場合は必要に応じて外部への業務委託を検討する。
- 外部委託先のセキュリティレベルについて、安全が確保できるように定期的に確認する。
| 重要項目8 | 情報収集と情報共有 |
|---|
POINT1:なぜ重要か?
サイバー攻撃の手法や脅威などを効率的に収集するだけでなく、自社で発見した脆弱性情報や自社に対する攻撃に関する情報を公的機関に提供したり、関連会社などの企業内グループで共有したりすることで、同様の被害が社会全体に広がることを未然に防止できます。
POINT2:やるべきことはこれだ!
- 情報処理推進機構(IPA)やJPCERT コーディネーションセンターなどの情報を収集して活用する。
- 情報を収集するだけでなく、自社の情報も積極的に提供する。
(P165参照:INFORMATION6-1 もしかしてサイバー攻撃?ここに連絡を!)
| 重要項目9 | 緊急時対応体制の整備とトレーニングの実施 |
|---|
POINT1:なぜ重要か?
緊急時の対応体制(社内の専門部署、緊急連絡先や初動対応マニュアル)が整備されていないと、速やかな原因特定、応急処置を取ることができません。
サイバー攻撃を受けた場合は、平時とは異なる状況での判断を求められますので、さまざまなケースを想定した訓練や演習を繰り返し実施する必要があります。
POINT2:やるべきことはこれだ!
- 緊急連絡先や初動対応マニュアルなどを整備して対応体制をつくっておく。
- 緊急時の対応手順の確認やトレーニングを定期的に実施する。
| 重要項目10 | 被害発覚後の必要な情報の把握、開示体制の整備 |
|---|
POINT1:なぜ重要か?
被害発覚後の対応で重要なことは、被害の拡大防止や二次被害の回避です。速やかに通知や注意喚起が行われない場合、顧客や取引先などへ被害が及ぶ恐れがあり、損害賠償請求など責任を問われる可能性があります。場合によっては法的責任を負うことにもなります。
組織内情報管理の責任者である経営者が感染被害を発表しないと、ステークホルダーに対し、組織としての責任を果たしたことにはなりません。
POINT2:やるべきことはこれだ!
- サイバー攻撃の被害があった場合に備え、通知・報告するべき機関や関係先、またその内容を整理してマニュアル化しておく。
- サイバー攻撃の被害について、経営者が顧客や取引先に報告・公表できるように準備しておく。
◆開示・報告先における注意点
| 開示・報告先 | 開示・報告時の留意点 |
|---|---|
| 所管官庁 |
|
| サイバーセキュリティ関係機関 (IPA、JPCERT/CC) |
|
| 報道機関 マスメディア |
|
| 顧客 |
|
| ビジネスパートナー 同業者 |
|
⇒ MISSION 3-9 経営者が認識すべきサイバーセキュリティ経営3原則
