サイバーセキュリティ経営の重要10項目 後編
「サイバーセキュリティ経営の重要10項目」とは、経営者がサイバーセキュリティ対策を実施する上で、責任者となる担当幹部に指示すべき10項目を経済産業省と情報処理推進機構(IPA)が合同でまとめたものです。企業でのサイバーセキュリティ対策の指針として非常に参考になります。指示は以下の10項目です。
前編では、サイバーセキュリティリスクの管理体制構築と、リスクの特定と対策に関する指示(指示1から指示6)について解説しました。今回はインシデント(※1)発生に備えた体制の構築と、自社に関わる組織との連携に関する指示(指示7から指示10)について解説します。
(※1)今回はサイバーセキュリティ上の問題が実際に起きること。
サイバーセキュリティの重要10項目の概要や指示1から指示6につきましては、こちらの記事をご参考ください。
【ゼロからわかるサイバーセキュリティ入門】ーサイバーセキュリティ経営の重要10項目 前編ー
「サイバーセキュリティ経営の重要10項目」の原文はこちらよりご覧いただけます。
サイバーセキュリティ経営ガイドライン Ver 3.0
7. インシデント発生時の緊急対応体制の整備
指示7の具体的な内容は、下記3つです。
・サプライチェーン(※2)全体でインシデントに対応可能な体制を整備する。
・被害発覚後の通知先や開示が必要な情報について把握し、企業の内外に適切な説明が行える体制を整備する。
・インシデント発生時の対応について、実践的な演習を行う。
サプライチェーン全体で体制整備を行うことは、インシデント発生時に影響範囲や損害の特定、再発防止策の検討などの対応を確実に行うために必須です。
インシデント発生は、ステークホルダー(※3)の信頼を失う恐れがありますが、外部に適切な情報開示を行うことができれば、信頼を保つことができる可能性が高まります。
不測の事態に陥った際に適切な初期対応を行い被害を最小限にするために、組織内で適宜演習を行う必要があります。
(※2)商品が顧客の手にわたるまでの、調達・製造・販売などの一連の流れのこと。
今回は、サイバー空間と現実の両空間を跨ぐ、様々なモノやデータのつながりのことも含める。
例)自社と取引関係のある企業だけでなく、外部デジタルサービスの利用や、システム同士の連携もサプライチェーンとする。
(※3)企業組織におけるすべての利害関係者。株主、債権者、顧客、取引先等があたる。
8. インシデントによる被害に備えた事業継続・復旧体制の整備
指示8の具体的な内容は、下記2つです。
・インシデントにより業務停止に至った場合、組織全体で整合性のとれた復旧目標を定め、復旧に向けた手順書の策定や復旧対応体制の整備を実施する。
・業務停止から復旧対応について、サプライチェーンも含めた実践的な演習を行う。
組織全体で業務の再開計画とデジタル環境の復旧計画の整合性をとることで、デジタル環境が原因で再開後に業務が滞ることを防ぐことができます。
近年業務のデジタル環境への依存度が高まっており、組織内でデジタル環境を復旧しただけでは、業務を再開できない可能性があります。サプライチェーンの復旧対応も含めて実践的な演習を行うことが重要です。
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況 把握及び対策
指示9の具体的な内容は、下記2つです。
・自社の国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた組織のサイバーセキュリティ対策状況を把握する。
・ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応方策を事前に検討し、役割や責任の範囲を定める。
自社の国内外拠点、系列企業やサプライチェーンの国内外ビジネスパートナーにおいて、適切なサイバーセキュリティ対策が行われていないと、関連企業を踏み台にして自社が攻撃される場合や、他社に2次被害を引き起こし、意図せず加害者となる場合があります。
契約時に責任の範囲を明確にすることで、緊急時の迅速な対応が可能になります。
10. サイバーセキュリティに関する情報の収集、共有及び開示の促進
指示10の具体的な内容は、下記2つです。
・サイバー攻撃や対策に関する情報共有を行うために他社との関係構築を行い、実際に被害が生じた際に適切な情報公開を行えるような準備をする。
・ 入手した情報を有効活用するための環境整備を実施する。
他社とサイバー攻撃に関する情報共有を行うことで、直近の攻撃手法や被害について知ることができ、他社と同様の被害を未然に防ぐことができます。
インシデント発生時に適切な情報公開がされなかった場合、ステークホルダーに不信感を与えてしまいます。上場会社においては、被害情報の適時開示を行わないことが法令違反となる場合があり、被害を受けた際の公表準備をしておくことが特に重要です。
まとめ
サイバーセキュリティ上の問題発生に備えて、関連企業全体で対応方策を定めることが重要です。インシデントが発生した際には、被害状況を確認し組織全体で整合性の取れた復旧計画を立てる必要があります。サイバー攻撃の直近の被害について知るためにも、普段から他社と情報共有を行うことが有効です。
「サイバーセキュリティ経営の重要10項目」を参考にして対策方針を立てることで、サイバーセキュリティリスクを軽減することができます。
株式会社GENZでは、ITに関するお困りごとに幅広く対応しております。
自社のシステムにサイバーセキュリティ対策を施したいけれど何からしてよいかわからない、という場合でも大丈夫です。脆弱性診断の結果をもとに、お客様のシステムに合った対策を提案させていただきます。システムの機能面に不安があれば、システムテストと脆弱性診断を一括でご依頼いただくことも可能です。
GENZと共にお客様のシステムをより良いものにしてみませんか。