サイバーセキュリティ経営に向けた体制確立

企業はサイバーセキュリティ基本法や、サイバーセキュリティ経営ガイドラインに合わせて、セキュリティの考え方を抜本的に変えなければならない。また、CSIRT構築やSOC対応を含め、セキュリティ対策における外部リソースの活用は企業の事業継続に不可欠なものとなる。

サイバーセキュリティ経営ガイドラインへの適応

サイバーセキュリティ戦略本部（内閣官房管轄）の「サイバーセキュリティ戦略（案）」では、官民および関係省庁間の連携強化、オリンピック・パラリンピック東京大会に向けた対応として、「経済社会の活力の向上および持続的発展」「国民が安全で安心して暮らせる社会の実現」「国際社会の平和・安定および我が国の安全保障」の3つを大きな柱としている（図1）。そして、「経済社会の活力の向上および持続的発展」の中で、「セキュリティマインドを持った企業経営の推進」を掲げ、経営者の意識改革や組織内体制の整備を求めている。

図1．新たな「サイバーセキュリティ戦略」について（全体構成）

また、2015年1月に施行されたサイバーセキュリティ基本法施行の目的は、サイバーセキュリティに関する施策と推進するための基本理念や国の責任を明らかにし、施策の基本となる事項や体制を規定することにある。この背景にはサイバー攻撃対策に対して国の責務や基本方針を定めた法律が存在しないまま、政府機関が対応をしていたことがあり、海外からの要請もあって策定された。この法律を受け、金融庁は2015年7月に「金融分野におけるサイバーセキュリティ強化に向けた取組方針」を発出し、各金融機関への指導を開始した。同じく、経済産業省では2015年12月に「サイバーセキュリティ経営ガイドライン」を策定した。

このガイドラインの対象者は、大企業および中小企業（小規模事業者を除く）のうち、ITに関するシステムやサービスなどを供給する企業および経営戦略上ITの利活用が不可欠である企業の経営者としている。ここではサイバー攻撃から企業を守る観点で、経営者が認識する必要がある「3原則」（図2）があげられ、経営者が情報セキュリティ対策を実施するうえでの責任者となるCISO（情報セキュリティを統括する担当役員）に指示すべき重要事項をまとめられている。

図2．サイバーセキュリティ経営ガイドラインにおける3原則