経済産業省が発行している『サイバーセキュリティ経営ガイドライン』が、企業のサイバーセキュリティ対策を取り巻く環境変化を踏まえて、2023年3月に改訂された。この改訂版を確認すると、同ガイドラインの骨子である3原則/10項目に大きな変更はなく、経営がセキュリティに求める本質は不変であることが読み取れる内容であった。本稿では、同ガイドラインが示す本質を理解するとともに、経営に貢献するセキュリティリスク管理の具体的なプロセスを解説する。
『サイバーセキュリティ経営ガイドライン』は、大企業および中小企業の経営者に向けて、サイバー攻撃から企業を守るために、経営者が認識する必要がある「3原則」(図1)、および経営者がサイバーセキュリティ対策としてセキュリティの担当幹部に指示すべき「重要10項目」(図2)がまとめられている文書である。これら3原則と10項目の内容を改めて確認してみると、「サイバーセキュリティリスク」という言葉が多く用いられており、ガイドライン全体がサイバー空間におけるセキュリティリスク管理の重要性が強調された内容になっている。