サイバーセキュリティ経営ガイドラインを使いこなす
ここからは当ガイドラインの全体像と関連資料を見ていこう。当ガイドラインには経営者が認識すべき3原則と、経営者がセキュリティ担当役員に指示すべき10の重要事項が列挙されている。
出所:経済産業省 商務情報政策局 サイバーセキュリティ課
Security Online Day(主催:翔泳社)講演資料より[クリックすると図が拡大します]
経営者が認識すべき3原則はまさに書かれてある通り、リーダーシップを発揮すること、自社だけではなく委託先にも目を見張らせること、そして常に関係者と適切なコミュニケーションをもつことの重要性が掲げられている。これは常に意識しておきたい。
10の重要事項は大きく分けて4つに分けられる。経営者のリーダーシップや企業内の体制構築に関する部分が1~2、常時のPDCAが3~5、攻撃を防ぐための事前対策が6~8、非常時のPDCAが9~10となる。
出所:経済産業省 商務情報政策局 サイバーセキュリティ課
Security Online Day 2017(主催:翔泳社)講演資料より[クリックすると図が拡大します]
当ガイドラインには副読本もある。IPAが公開している「サイバーセキュリティ経営ガイドライン解説書」と「中小企業の情報セキュリティ対策ガイドライン」だ。前者はガイドラインの中でも特に重要な対策や考え方について、より具体的にかみ砕いて解説している。実際にやるべき対策をどのような手順でどのように進めていくかが分かる。後者は中小企業向けに全体的な指針から具体的な対策までを簡易に網羅できるようになっている。「全く何から始めたらいいのか分からない」のであれば、後者から目を通してみるのもいいだろう。
2017年4月からはセキュリティ対策を自己宣言する制度「SECURITY ACTION」がはじまった。情報セキュリティの取り組み状況を宣言し、ロゴマークを使えるようになる。二つ星を宣言した企業にはサイバー保険の保険料を割り引く損害保険会社もある。
当ガイドラインのVer1.1が公開されたのは2016年12月。そろそろ1年になろうとしているところだ。現在は経済産業省及びIPAの研究会にて改訂版を準備している。近々最新の動向も踏まえた改訂版が公開される予定だ。
