検索
  • サポート

  • Secure the Enterprise

  • Secure the Cloud

  • Secure the Future
  • その他
  • サポート

サイバーセキュリティへの投資と中小企業対策への積極的姿勢を強めたサイバーセキュリティ経営ガイドラインの改定版

ダニエル・クリズ、松原実穗子 1 17, 2017 at 10:00 午前

2016年12月、経済産業省と独立行政法人 情報処理推進機構(IPA)は、 「サイバーセキュリティ経営ガイドライン Ver. 1.1」 を発表しました。これは、2015年12月の 「サイバーセキュリティ経営ガイドラインVer. 1.0」 の改定版になります。

2016年5月のブログ でも指摘しましたように、このガイドラインは経営層向けに書かれたものです。2016年12月の改定版 は3原則と重要10項目はそのままですが、大きな変更点が2つあります。1つは、サイバーセキュリティにおける経営層のリーダーシップへの期待が高まった点 です。もう1つは、改定版には付属文書としてIPAの「サイバーセキュリティ経営ガイドライン解説書」ができたことです。

2015年のオリジナル版と2016年の改定版との最大の違いは、第1原則の理由付けが書き換えられた点にあります。2015年版では、「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」ものの、「サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進」するべきであると書かれていました。一方、2016年版でも、サイバーセキュリティへの投資を経営層に促しており、その理由付けは切迫感を増しています。「ビジネス展開や企業内の生産性の向上のために IT サービス等の提供や IT を利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と書かれ、経営層の責任が強調されています。

理由付けがこれだけ強い言葉で書かれた背景には、日本と欧米の経営層のサイバーセキュリティに対する意識の差に対する日本政府の焦燥感があるものと思われます。改定版には、 KPMGのサイバーセキュリティサーベイ2013 と サイバーセキュリティサーベイ2016が引用されており、 サイバー攻撃の予防について取締役レベルで議論すべきと考える日本企業の割合が2013年の52パーセントから2015年の68パーセントに上がったものの、欧米の88パーセントからは程遠い有様が指摘されています。2016年5月にIPAが出した 「企業の CISO や CSIRT に関する実態調査 2016 – 調査報告書 – 」 によると、日本企業のうち、「経営層のリスク感度が低い」と答えたところが28.9パーセント、 「経営層にITやセキュリティの重要性を理解してもらえない」と答えたところが26.2パーセントであったのに対し、米国ではその割合はそれぞれ16.4パーセントと17.7パーセント、ヨーロッパでは20.6パーセントと 18.0 パーセントでした。

2016年版における第2の大きな変更点は、128ページに及ぶ付属文書の 「サイバーセキュリティ経営ガイドライン解説書ver. 1.0」 を新たにIPAが出したことです。元の36ページのガイドラインには詳しい実例があげられていないことから、IPAの解説書には、経営層、最高情報セキュリティ責任者(CISO)、サイバーセキュリティ担当者が具体的にどのようなアクションをとらなければならないのかが盛り込まれています。 また、IPAは2015年版の3原則と重要10項目についても詳述しており、2011年から2016年に国内外で発生したインシデントの事例集を Excelの別添  にまとめています。

別添の事例集の中には、日本の子会社(中小企業がほとんど)の例も入っています。日本では中小企業に対するサイバー攻撃が増えており、2016年には大企業の子会社でも情報流出事案が発生しています。中小企業の事例も含まれたIPAのこの別添文書は、「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」とするサイバーセキュリティ経営ガイドラインの第2原則の重要性を裏付けています。本ガイドライン自体は小規模事業者を対象読者から除外していますが、日本では企業のうち中小企業の占める割合が99.7パーセントであり、日本の労働人口の69.7パーセントを雇用しています (日本の場合、中小企業と 定義 されるのは通常、従業員数が300名未満の企業です)。そのため、日本のサイバーセキュリティを強化するには、サイバーセキュリティだけでなく、コーポレートガバナンスも向上させなければなりません。

だからこそ、IPAの解説書の55~56ページには、「事業の実施については、事業主体者に主たる責任があり、サイバーセキュリティリスクへの対策が施されていない状態でサイバー攻撃を受け、重要情報が漏えいした場合や業務が遂行できなくなった場合は、第一義的には事業主体である発注者や、事業形態等によっては親会社の責任が問われることになります」との記述があるのです。さらに57ページ目を見ると、サプライチェーンにおけるサイバーセキュリティの責任と対策費用は、上流が少なくとも一部は負担することを検討すべきと書かれています。サプライチェーンの上流は、下流に対し、「対策を一方的に押し付け、責任を転嫁」するべきではないと指摘されています。

2015年のサイバーセキュリティ経営ガイドラインが出てから1年後に改定版が出たということは、日本政府が企業の、特に中小企業のサイバーセキュリティをいかに懸念しており、行動の変革を望んでいるかを示しています。日本の場合、ガイドラインは法的拘束力を持つものではありませんが、今回の改定版が出たことで、中小企業を助け、受注側や子会社の持つサイバーセキュリティリスクやビジネスリスクを認識するよう、日本政府が企業に対して今まで以上に強いプレッシャーをかけていることが見て取れます。改定版で経営層の役割が強調されているのは、特に歓迎すべきです。2016年9月のブログで指摘したように、日本企業には従来「Cレベル」の経営層という概念がありませんでした。

日本が2015年に出したサイバーセキュリティ戦略 では、経営層が事業戦略の中でサイバーセキュリティに投資をしていくことの大切さが強調されています。2015年のサイバーセキュリティ経営ガイドラインと2016年の改定版は、このサイバーセキュリティ戦略の精神を反映しています。内閣サイバーセキュリティセンター(NISC)は、 サイバーセキュリティ研究開発戦略を2017年6月頃、 次期人材育成プログラムを2017年に出す予定です。2017年は、東京五輪まで3年あまりを残すのみとなり、企業のレジリエンシーとサイバーセキュリティへの意識を高めることが日本にとって急務です。2016年後半及び2017年のサイバーセキュリティの政策の動きを受け、日本企業はさらに高度なサイバーセキュリティ対策を求められることになるでしょう。

松原実穗子とダニエル・クリズの共著第六弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。今後のブログでは、世界規模のサイバーセキュリティ能力開発における日本の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティの派生的問題、その他のトピックを取り上げる予定です。


 

ニュース

Wireshark によるパケット解析講座 2

前回は Wiresharkの列表示のカスタマイズ方法について見ていきました。本稿では脅威インテリジェンスの調査上便利なフィルタリングの設定方法について説明します。
January 20, 2019

ニュース

Wireshark によるパケット解析講座 3

前回までではWiresharkの列表示のカスタマイズ方法と表示フィルタの式について見ていきました。本稿ではトラフィックから感染ないし侵害を受けたホスト名やユーザーを特定する方法について説明します。
March 31, 2019

ニュース

Wireshark によるパケット解析講座 4

セキュリティ専門家は、不審なアクティビティのパケット キャプチャ(pcap)をレビューする際、より詳しく調べるために、オブジェクトをpcapからエクスポートしなければならない場合があります。
July 12, 2019

ニュース

DNSトンネリング: 攻撃者はDNSをどう悪用するのか

悪意のある攻撃者は、ドメインネームサービス(DNS)をコマンド&コントロール(C2)用通信チャネルとして悪用してきました。またこのプロトコルはこのほかに、データを漏出させる目的でも悪用されてきました。DNS の悪用はC2に「ハートビート」接続のために通信するという用途からさらに広がっており、攻撃者はここ数年、悪意のあるデータやペイロードをDNS経由で被害者のシステムに侵入させる用途にもDNSを使っています。本稿では、DNSを悪用したデータ侵入・漏出の種類、方法、使用方法を紹介し、その防御メカニズムへの指針を示します。
March 18, 2019

ニュース

Wireshark によるパケット解析講座 1

Wireshark は無料で利用できるプロトコル アナライザです。 Wireshark を使うとネットワーク トラフィックをキャプチャしたり、キャプチャしたパケットを表示させることができます。そこでパロアルトネットワークスの脅威インテリジェンス調査チーム Unit42 に所属するアナリストが、Wireshark を使ってマルウェア検体が生成したトラフィックをレビューするさいに利用している便利な使いかたをご紹介していきます。
January 17, 2019

ニュース

Cortex XDRの紹介

パロアルトネットワークスは、セキュリティの最先端を行く3つのイノベーションを発表しました。これらのイノベーションによって、セキュリティ業界の変革に挑もうとしています。まず1つ目は、ディテクション(検知)・調査・レスポンスSaaSアプリケーションCortex XDRです。これは、高度な攻撃をディテクションして阻止するだけでなく、将来のサイバー攻撃に備えて防御機能を絶えず進化させ、セキュリティ運用をサポートするSaaS型のアプリケーションです。
April 14, 2019

メールニュース購読

インテリジェントなネットワーク セキュリティの開始地点

このフォームを送信すると、利用規約とプライバシーに関する声明に同意したことになります 。
Subscription Reward

リソース

  • 会社概要
  • イベント
  • リソースセンター
  • プレスリリース
  • Unit42 ブログ
  • ブログ
  • JAPAN LIVE COMMUNITY
  • Tech Docs
  • キャリア
  • お問い合わせ
  • Sitemap

法定通知

  • プライバシー
  • 個人情報保護基本方針
  • 利用規約

アカウント

  • 購読の管理
  • パートナーログイン
  • パートナーになる
脆弱性の報告
  • USA (ENGLISH)
  • AUSTRALIA (ENGLISH)
  • BRAZIL (PORTUGUÉS)
  • CANADA (ENGLISH)
  • CHINA (简体中文)
  • FRANCE (FRANÇAIS)
  • GERMANY (DEUTSCH)
  • INDIA (ENGLISH)
  • ITALY (ITALIANO)
  • JAPAN (日本語)
  • KOREA (한국어)
  • LATIN AMERICA (ESPAÑOL)
  • MEXICO (ESPAÑOL)
  • SINGAPORE (ENGLISH)
  • SPAIN (ESPAÑOL)
  • TAIWAN (繁體中文)
  • UK (ENGLISH)
  • Facebook
  • Linkedin
  • Twitter
  • Youtube

© 2021 Palo Alto Networks, Inc. All rights reserved.