IMF(国際通貨基金)の専務理事であるクリスティーヌ・ラガルドは レポートの中で次のように述べています。
「サイバー攻撃による年平均の潜在的損失額が、銀行の純利益全体の9%近く、約1,000億ドルに上る可能性が示唆されています。」

これまではサイバーセキュリティ対策というと各企業のIT部門やセキュリティ担当者任せだったと言わざるを得ませんでした。
サイバー攻撃が事業の損失に直結している事実を鑑み“サイバー攻撃は国家単位で対策すべき経営リスク”であると結論し、経済産業省が整備したのが「サイバーセキュリティ経営ガイドライン」です。
本記事では「サイバーセキュリティ経営ガイドライン」について詳しく説明します。

ダウンロードはこちら サイバーセキュリティ評価チェックシート

サイバーセキュリティ経営ガイドラインとは

サプライチェーン全体を狙った攻撃や電力の重要インフラへの攻撃など、国内外において企業を標的とする攻撃はその規模と手口の巧妙さが益々加速しています。
IT部門やセキュリティ担当者の手で負える範囲を超えているのは明らかながら、これまでサイバーセキュリティ対策が経営責任であると明確に示したガイドラインはありませんでした。
サイバーセキュリティ経営ガイドラインを理解するためには、「”経営”のガイドライン」である点に注目して読み進めることが重要です。

■サイバーセキュリティ経営ガイドラインの発行の経緯

ITを活用していない企業はもはやないというほど、業務の効率化や収益性向上にはなくてはならないものとして根付いています。
サイバー攻撃を行う者にとっても同様で「企業のITインフラを狙えばそこには収集できる金銭も転がっている」のは当然のシナリオとなっています。
サイバーセキュリティ経営ガイドラインの概要によると約4割の企業がサイバー攻撃を受けた経験があると報告しています。

企業へのサイバー攻撃が増す一方で、多くの企業は十分な対策ができていない現実が浮き彫りとなっています。

KPMG コンサルティングの「サイバーセキュリティサーベイ 2017」によると、サイバー攻撃対策への投資を成長に必要な経営資源と位置付けている企業は19%に留まっています。一方で、サイバー攻撃対策への投資はやむを得ない費用であると認識している企業が圧倒的多数です。

また、サイバーセキュリティ対策を成長投資とする企業の7割以上で、必要なセキュリティ予算を確保できています。やむを得ない費用と考えている企業では4割程度となっており、サイバーセキュリティ対策の成否は経営判断に大きく依存していることは明らかです。

サイバーセキュリティ対策を成功させるには、まず経営としてのサイバーセキュリティ対策への認識を問うことが重要との結論から生まれたのが「サイバーセキュリティ経営ガイドライン」です。

図: サイバー攻撃(ウイルス以外)被害を受けた企業の割合/サイバーセキュリティ経営ガイドライン
図: 必要なセキュリティ予算の確保/サイバーセキュリティサーベイ 2017
■サイバーセキュリティ経営ガイドラインのカバー範囲
サイバーセキュリティ経営ガイドラインは、サイバーセキュリティ対策を検討している企業の次のような人員を想定して作成されています。
  • 経営者
  • サイバー攻撃対策を実施する上での責任者となる幹部(以下、CISO等)
  • サイバー攻撃対策の担当者、CSIRTのメンバー等(以下、セキュリティ担当者)
  • 上記人材の育成や支援を担当する社内部門や社外の事業者(以下、人材育成・支援担当者)

     

もくじ
想定読者
サイバーセキュリティ経営ガイドライン・概要経営者・CISO・セキュリティ担当者
            はじめにCISO・セキュリティ担当者
            経営者が認識すべき3原則CISO・セキュリティ担当者
            サイバーセキュリティ経営の重要10項目CISO・セキュリティ担当者
付録A       サイバーセキュリティ経営チェックシートセキュリティ担当者
付録B       サイバーセキュリティ対策に関する参考情報セキュリティ担当者
付録D       国際規格ISO/IEC27001 及び27002 との関係セキュリティ担当者
付録E       用語の定義セキュリティ担当者
■サイバーセキュリティ経営ガイドラインの位置づけ
サイバーセキュリティ経営ガイドラインは「小規模事業者を除く大・中・小企業の全体指針」という位置付けとなっています。
具体的な対策は「サイバーセキュリティ経営ガイドライン解説書」で説明されているとともに、並行して「サイバーセキュリティ経営ガイドライン実践のためのプラクティス集」という別のコンテンツでも説明されています。
また、中小企業や小規模事業者は「中小企業の情報セキュリティ対策ガイドライン」を参照することとされています。

■サイバーセキュリティ経営ガイドラインの理解が重要である理由

サイバーセキュリティ経営ガイドラインでは、次のように“サイバー攻撃対策は投資であること”と“セキュリティ投資は経営者の責務”と明記されています。
  • サイバー攻撃対策の実施を「コスト」と捉えるのではなく「投資」と捉えることが重要
  • 経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務

サイバーセキュリティ経営ガイドラインが発行されるまでは、経営者の責任を問うガイドラインというものは存在していませんでした。
単に「セキュリティガイドライン」なのではなく「経営ガイドライン」であることが非常に画期的なのです。
これまで経営者が負うべきサイバーセキュリティ対策の責任をIT部門やセキュリティ担当者が一手に担わざるを得なかった状況から脱し、セキュリティ担当者は肩の荷がおりたというのが正直なところでしょう。

サイバーセキュリティ経営ガイドラインで自社を評価するには?

サプライチェーン全体を狙った攻撃や電力の重要インフラへの攻撃など、国内外において企業を標的とする攻撃はその規模と手口の巧妙さが益々加速しています。
IT部門やセキュリティ担当者の手で負える範囲を超えているのは明らかながら、これまでサイバーセキュリティ対策が経営責任であると明確に示したガイドラインはありませんでした。
サイバーセキュリティ経営ガイドラインを理解するためには、「"経営"のガイドライン」である点に注目して読み進めることが重要です。

■「サイバーセキュリティ経営ガイドライン」を適用するときの課題

サイバーセキュリティ経営ガイドラインは「小規模事業者を除く大・中・小企業の全体指針」という国内のほぼ全ての企業が参照すべきガイドラインでありながら、実際の適用には様々な課題が残っています。

例えば「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」というチェック項目があり、自社の状況についてYesまたはNoで回答するように指示されています。
「認識しているかどうか」の問いに客観性を持って回答するのはどの企業でも困難でしょう。
セキュリティ対策の全体指針であるサイバーセキュリティ経営ガイドラインを理解しても、その適用にはセキュリティ専門家の知見がどうしても必要なのです。

■「サイバーセキュリティ評価チェックシート」の公開

この度、ゾーホージャパン株式会社は、この「サイバーセキュリティ経営ガイドライン」を各企業で適用する際にお使いいただける「サイバーセキュリティ評価チェックシート」を無料で公開いたしました。

最も客観的な数値化がしにくいとされる経営に対しての評価をチェック項目ごとに点数化できます。
この点数化を実現しているのは、ゾーホージャパン株式会社とニュートン・コンサルティング株式会社がこれまで対応してきたコンサルティングや数々の活動からの知見と実績に他なりません。


また、「サイバーセキュリティ評価チェックシート」は、「サイバーセキュリティ経営ガイドラインVer 2.0」のみでなく、以下のような国内外の主要なガイドラインも加味した網羅性の高いチェックリストとなっています。
  • JISQ15001:2017付属書A
  • 重要インフラのサイバーセキュリティを改善するためのフレームワークVer1.1
  • NIST SP 800-171 Revision1
  • CIS Controls version7
  • ISO27001:2013付属書A
  • ISO27017:2015付属書A
  • 中小企業の情報セキュリティ対策ガイドライン第3版
  • PCI-DSSバージョン3.2.1

■「サイバーセキュリティ評価チェックシート」の構成と使い方

サイバーセキュリティ評価チェックシートは、まず、サイバーセキュリティ経営ガイドラインで“重要10項目”とされる大項目と中項目が原文そのままで記載されています。
各々の項目を右にたどっていくと、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」が列挙されています。

「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか?」
という問いでは、評価者も客観的な評価を下すことはできませんが、
「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する。」
という「実施の確認事項」に対してはYesまたはNoが判断できます。

評価担当者が記入するのは、評価結果、評価コメント、評価手法、根拠、評価者、備考です。
評価結果は1から5までの数字を入力します。

評価手法、根拠、評価者欄はいずれも直接的には評価に関係しない項目ですが、評価の根拠や評価者名を明記することで評価者が主観で評価しないように考慮されています。

評価シートをすべて入力すると評価結果シートに、サイバーセキュリティ経営ガイドラインの重要10項目それぞれに対して、何点だったのか自動計算で結果が表示されます。
自社ではどの項目のセキュリティ対策が不足しているのか一目瞭然です。
サイバーセキュリティと経営はいずれも評価を客観的に点数化することが特に難しい分野です。
「サイバーセキュリティ評価チェックシート」を活用することで、サイバーセキュリティ経営ガイドラインへの準拠の度合いを点数化できます。

ダウンロードはこちらサイバーセキュリティ評価チェックシート

おわりに

冒頭のクリスティーヌ・ラガルド氏はサイバー攻撃の今後について、こうも述べています。
もっと厳しいシナリオでは、サイバー攻撃は、過去の実績と比較して攻撃の頻度は倍、拡散リスクも高いと想定されています。この場合、損失額は2,700 億ドルから 3,500 億ドルに達する可能性があります。

これは遠い未来の想定ではなく、現在または1年後の想定です。
すべての企業で早急に実施すべきは「サイバーセキュリティ経営ガイドライン」を理解しサイバーセキュリティは経営判断に成否がかかっていることを認識すること、そして経営ガイドラインへ準拠できているか自社を数値評価することです。
一刻も早く自社の評価を完了するために、是非「サイバーセキュリティ評価チェックシート」をご活用ください。