1. 情報セキュリティブログ ホーム
  2. セキュリティ用語解説
  3. サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドラインとは、経済産業省と独立行政法人 情報処理推進機構(IPA)が2015年12月に共同で策定したガイドライン。企業がサイバー攻撃対策を行う上で、経営者が認識すべき指針がまとめられている。

ビジネス現場におけるIT利活用が不可欠となる一方、テクノロジーの進化に伴うサイバーセキュリティの脅威も増大している。企業収益に深刻な影響を及ぼすようなサイバー攻撃だけでなく、国の安全保障に関わる重要な情報の流出や、重要インフラを狙った攻撃も発生している。

また、グローバルにビジネスを展開する企業にとっては、国境を越えて仕掛けられるサイバー攻撃に対し、国内外に関わらずサプライチェーン全体でサイバーセキュリティ対策を考えていく必要がある。

こうした状況に鑑み、大企業や中小企業の経営者を対象に、サイバーセキュリティ対策を「コスト」ではなく「投資」と位置づけて、リーダーシップを持って推進していくための指針を示したのが同ガイドラインだ。具体的には、経営者が認識する必要がある「3原則」と、CISOをはじめとするサイバーセキュリティ対策の推進責任者に対し、経営者が指示すべき「重要10項目」がまとめられている。

<経営者が認識すべき3原則>
(1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

<サイバーセキュリティ経営の重要10項目>
指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2:サイバーセキュリティリスク管理体制の構築
指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5:サイバーセキュリティリスクに対応するための仕組みの構築
指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施
指示7:インシデント発生時の緊急対応体制の整備
指示8:インシデントによる被害に備えた復旧体制の整備
指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

(経産省「サイバーセキュリティ経営ガイドライン Ver 2.0」より引用)

2016年12月には、IPAから、ガイドラインの内容を具体的に補足する「サイバーセキュリティ経営ガイドライン解説書」が公開された。また、2017年11月にはガイドラインの内容が改訂され、「サイバーセキュリティ経営ガイドライン Ver2.0」という改訂版が公開されている。

日立ソリューションズの関連ソリューション

トータルセキュリティソリューション

トータルセキュリティソリューション

確かな技術と豊富な経験・実績を持つ日立ソリューションズだからできる様々なセキュリティニーズに対応したソリューションをご提供します。

詳しく見る

サイバー攻撃対策ソリューション

サイバー攻撃対策ソリューション

高度化する標的型攻撃、マルウェア、DDoS攻撃に加え、リスト型攻撃、オンライン不正送金などに対応する最適なサイバー攻撃対策をコンサルテーションからシステム運用・監視までトータルに提供します。

詳しく見る

セキュリティ用語辞典一覧ページへ

関連キーワード:

CISO

サイバーセキュリティ経営ガイドライン

サイバー攻撃

経営者

  • 総務省が「情報通信白書 for Kids」をリニューアル
  • カテゴリートップへ
  • 2017年のデータ漏えい件数は29億件超、前年比で約25%減少