2016年12月、経済産業省と独立行政法人 情報処理推進機構(IPA)は、 「サイバーセキュリティ経営ガイドライン Ver. 1.1 を発表しました。これは、2015年12月の 「サイバーセキュリティ経営ガイドラインVer. 1.0」 の改定版になります。

2016年5月のブログ でも指摘しましたように、このガイドラインは経営層向けに書かれたものです。2016年12月の改定版 は3原則と重要10項目はそのままですが、大きな変更点が2つあります。1つは、サイバーセキュリティにおける経営層のリーダーシップへの期待が高まった点 です。もう1つは、改定版には付属文書としてIPAの「サイバーセキュリティ経営ガイドライン解説書」ができたことです。

2015年のオリジナル版と2016年の改定版との最大の違いは、第1原則の理由付けが書き換えられた点にあります。2015年版では、「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」ものの、「サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進」するべきであると書かれていました。一方、2016年版でも、サイバーセキュリティへの投資を経営層に促しており、その理由付けは切迫感を増しています。「ビジネス展開や企業内の生産性の向上のために IT サービス等の提供や IT を利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と書かれ、経営層の責任が強調されています。

理由付けがこれだけ強い言葉で書かれた背景には、日本と欧米の経営層のサイバーセキュリティに対する意識の差に対する日本政府の焦燥感があるものと思われます。改定版には、 KPMGのサイバーセキュリティサーベイ2013 と サイバーセキュリティサーベイ2016が引用されており、 サイバー攻撃の予防について取締役レベルで議論すべきと考える日本企業の割合が2013年の52パーセントから2015年の68パーセントに上がったものの、欧米の88パーセントからは程遠い有様が指摘されています。2016年5月にIPAが出した 「企業の CISO や CSIRT に関する実態調査 2016 – 調査報告書 – 」 によると、日本企業のうち、「経営層のリスク感度が低い」と答えたところが28.9パーセント、 「経営層にITやセキュリティの重要性を理解してもらえない」と答えたところが26.2パーセントであったのに対し、米国ではその割合はそれぞれ16.4パーセントと17.7パーセント、ヨーロッパでは20.6パーセントと 18.0 パーセントでした。

2016年版における第2の大きな変更点は、128ページに及ぶ付属文書の 「サイバーセキュリティ経営ガイドライン解説書ver. 1.0」 を新たにIPAが出したことです。元の36ページのガイドラインには詳しい実例があげられていないことから、IPAの解説書には、経営層、最高情報セキュリティ責任者(CISO)、サイバーセキュリティ担当者が具体的にどのようなアクションをとらなければならないのかが盛り込まれています。 また、IPAは2015年版の3原則と重要10項目についても詳述しており、2011年から2016年に国内外で発生したインシデントの事例集を Excelの別添  にまとめています。

別添の事例集の中には、日本の子会社(中小企業がほとんど)の例も入っています。日本では中小企業に対するサイバー攻撃が増えており、2016年には大企業の子会社でも情報流出事案が発生しています。中小企業の事例も含まれたIPAのこの別添文書は、「自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要」とするサイバーセキュリティ経営ガイドラインの第2原則の重要性を裏付けています。本ガイドライン自体は小規模事業者を対象読者から除外していますが、日本では企業のうち中小企業の占める割合が99.7パーセントであり、日本の労働人口の69.7パーセントを雇用しています (日本の場合、中小企業と 定義 されるのは通常、従業員数が300名未満の企業です)。そのため、日本のサイバーセキュリティを強化するには、サイバーセキュリティだけでなく、コーポレートガバナンスも向上させなければなりません。

だからこそ、IPAの解説書の55~56ページには、「事業の実施については、事業主体者に主たる責任があり、サイバーセキュリティリスクへの対策が施されていない状態でサイバー攻撃を受け、重要情報が漏えいした場合や業務が遂行できなくなった場合は、第一義的には事業主体である発注者や、事業形態等によっては親会社の責任が問われることになります」との記述があるのです。さらに57ページ目を見ると、サプライチェーンにおけるサイバーセキュリティの責任と対策費用は、上流が少なくとも一部は負担することを検討すべきと書かれています。サプライチェーンの上流は、下流に対し、「対策を一方的に押し付け、責任を転嫁」するべきではないと指摘されています。

2015年のサイバーセキュリティ経営ガイドラインが出てから1年後に改定版が出たということは、日本政府が企業の、特に中小企業のサイバーセキュリティをいかに懸念しており、行動の変革を望んでいるかを示しています。日本の場合、ガイドラインは法的拘束力を持つものではありませんが、今回の改定版が出たことで、中小企業を助け、受注側や子会社の持つサイバーセキュリティリスクやビジネスリスクを認識するよう、日本政府が企業に対して今まで以上に強いプレッシャーをかけていることが見て取れます。改定版で経営層の役割が強調されているのは、特に歓迎すべきです。2016年9月のブログで指摘したように、日本企業には従来「Cレベル」の経営層という概念がありませんでした。

日本が2015年に出したサイバーセキュリティ戦略 では、経営層が事業戦略の中でサイバーセキュリティに投資をしていくことの大切さが強調されています。2015年のサイバーセキュリティ経営ガイドラインと2016年の改定版は、このサイバーセキュリティ戦略の精神を反映しています。内閣サイバーセキュリティセンター(NISC)は、 サイバーセキュリティ研究開発戦略を2017年6月頃、 次期人材育成プログラムを2017年に出す予定です。2017年は、東京五輪まで3年あまりを残すのみとなり、企業のレジリエンシーとサイバーセキュリティへの意識を高めることが日本にとって急務です。2016年後半及び2017年のサイバーセキュリティの政策の動きを受け、日本企業はさらに高度なサイバーセキュリティ対策を求められることになるでしょう。

松原実穗子とダニエル・クリズの共著第六弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。今後のブログでは、世界規模のサイバーセキュリティ能力開発における日本の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティの派生的問題、その他のトピックを取り上げる予定です。