LASSIC Media らしくメディア
サイバーセキュリティ経営の進め方と外部活用
LASSIC IT事業部|元請(プライムベンダー)としてシステム保守・運用を受託
この記事のポイント
- サイバーセキュリティ経営ガイドラインが示す3原則と重要10項目を、経営が担う判断事項として整理します。
- 担当部門任せの体制で生じやすい空白と、経営が体制づくりで押さえるべき役割分担を解説します。
- 委託先管理・外部パートナー活用を経営としてどう判断し発注するかを取り上げます。
目次
サイバーセキュリティ経営ガイドラインとは何か
サイバーセキュリティ経営 ガイドラインとは、経済産業省と独立行政法人情報処理推進機構(IPA)が経営者向けに策定した、サイバーセキュリティ対策を経営課題として進めるための指針を指します*1。2015年の初版公開以降、2017年にVer2.0、2023年3月にVer3.0へ改訂されています*1。
ガイドラインは、経営者が認識すべき「3原則」と、経営者がCISO(Chief Information Security Officer=情報セキュリティを統括する担当役員)等の担当幹部に指示すべき「重要10項目」で構成されます*1。技術的な設定手順書ではなく、経営者が何を決め、誰に何を指示し、どこまでを自社の責任として引き受けるかを定めた経営文書という位置づけです。
本稿では、このガイドラインの内容を経営課題として捉え直し、体制づくりと委託先・外部パートナーの活用をどう進めるかを整理します。WAF(Web Application Firewall、Webアプリケーションへの攻撃を検知・遮断する仕組み)やゼロトラスト(すべての通信を信頼せず都度検証する設計思想)といった個別技術対策、ペネトレーションテスト(実際の攻撃手法を模して脆弱性を検証する試験)、CSIRT・SOCの人材確保といった実装論は他稿に譲り、本稿は経営の枠組みそのものに絞って扱います。
なぜ経営課題なのか — 事業継続・供給網・信頼の3つの理由
サイバーセキュリティ対策が情報システム部門の担当業務にとどまらない理由は、影響範囲が事業そのものに及ぶためです。ガイドラインは、サイバー攻撃を受けた場合の被害が自社にとどまらず、取引先や消費者にも波及しうる経営リスクだと位置づけています*1。
第一に、事業継続への影響です。基幹システムの停止やデータ毀損は、製造・受注・出荷といった業務プロセスを直接止めます。復旧の可否と速度は経営判断(投資の優先順位・対応方針の明確化)に左右されるため、現場担当者の裁量だけでは対応の限界があります。
第二に、サプライチェーン(供給網)全体への波及です。ガイドラインVer3.0は、自社のみならず国内外の拠点・ビジネスパートナー・委託先を含めたサプライチェーン全体への目配りを経営者の責務として明記しています*1。自社が対策を尽くしても、取引先や委託先の脆弱性を経由して被害が発生する可能性は残ります。
第三に、対外的な信頼と情報開示の要請です。重要10項目には、サイバーセキュリティに関する情報の収集・共有・開示の促進が含まれています*1。インシデント発生時に、取引先・株主・監督官庁に対してどう説明責任を果たすかも経営判断の対象です。担当部門への丸投げでは、これら3つの影響領域に対する意思決定主体が不在になります。
経営が認識すべき3原則
ガイドラインは、経営者がまず認識すべき前提として3つの原則を示しています*1。
第一に、サイバーセキュリティリスクへの対応投資を「コスト」ではなく「投資」として捉える原則です*1。対策費用を守りの支出とみなすのではなく、事業継続と競争力を支える投資判断として経営が位置づける必要があります。
第二に、自社だけでなく国内外の拠点・ビジネスパートナー・委託先を含めたサプライチェーン全体を見据えた総合的な対策の原則です*1。自社の対策水準だけを基準にせず、取引関係にある外部組織の状況まで含めて経営がリスクを把握する姿勢が求められます。
第三に、平時・緊急時を問わず、関係者との積極的なコミュニケーションを行う原則です*1。社内の関係部門、取引先、監督官庁、顧客といった関係者との情報共有を、有事の場当たり対応ではなく平時からの経営活動として組み込む考え方です。
3原則はいずれも技術論ではなく、経営者の意思決定姿勢を定めたものです。この前提を経営会議・取締役会で共有できているかどうかが、重要10項目を実行に移せるかの土台になります。
経営が指示すべき重要10項目の要点
ガイドラインは、経営者がCISO等の担当幹部に指示すべき事項として重要10項目を示しています*1。以下は経営視点での要点整理です。詳細な実施手順はIPAのプラクティス集に事例が収録されています*2。
| 指示項目 | 経営が押さえる要点 |
|---|---|
| 指示1:リスク認識と対応方針の策定 | 自社の事業内容を踏まえたリスクを認識し、組織全体の対応方針を経営者自らが表明します。 |
| 指示2:リスク管理体制の構築 | CISO等の責任者を任命し、経営層・関連部門・現場をつなぐ管理体制を整えます。 |
| 指示3:対策のための資源確保 | 予算・人材・ツールといった資源を、投資として経営が確保します。 |
| 指示4:リスクの把握と対応計画の策定 | 保有資産・委託先を含めたリスクを洗い出し、対応の優先順位を計画にします。 |
| 指示5:リスクに対応する仕組みの構築 | 防御・検知・分析の仕組みを、自社対応と外部委託を組み合わせて構築します。 |
| 指示6:PDCAによる継続的改善 | 対策の実効性を定期的に点検し、計画・実行・評価・改善のサイクルを回します。 |
| 指示7:緊急対応体制の整備 | インシデント発生時の初動・報告・意思決定の体制と演習を整えます。 |
| 指示8:事業継続・復旧体制の整備 | 被害を受けた場合の事業継続計画と復旧手順をあらかじめ用意します。 |
| 指示9:サプライチェーン全体の把握・対策 | ビジネスパートナー・委託先を含めた供給網全体の状況を把握し対策します。 |
| 指示10:情報の収集・共有・開示の促進 | 業界内の情報共有活動への参加と、対外的な情報開示を進めます。 |
10項目を並べて見ると、方針表明(指示1)から体制(指示2・3)、リスク把握と仕組み(指示4・5)、改善サイクル(指示6)、有事対応(指示7・8)、外部との関係(指示9・10)まで、経営が担う意思決定の連鎖として設計されていることがわかります。担当部門に丸ごと委ねられるのは指示5の一部(対策の技術的な実装)までであり、それ以外は経営自身の関与を前提にした項目です。
体制づくりの実務:CISO・CSIRTの位置づけと経営の役割
重要10項目の指示2は、CISO等の責任者を中心とした管理体制の構築を求めています*1。CISOは経営とセキュリティ対策実務をつなぐ役割であり、経営会議への報告経路と、対策予算・人員配置の決裁権限を持つ位置づけが実務上重要になります。
CSIRT(Computer Security Incident Response Team、インシデント対応を専門に担う社内チーム)は、CISOの指示のもとでインシデントの検知・分析・対応を担う実行部隊です。CISOが経営に近い意思決定機能を担うのに対し、CSIRTは平時の監視から有事の初動対応までを担う実務機能という役割分担になります。中堅・中小企業では、この両者を専任で置けず兼務やSOC(Security Operation Center、監視業務を専門に担う組織・拠点)外部委託で補う体制も選択肢になります*2。
経営が体制づくりで押さえるべきは、機能の名称や人員数ではなく、「誰がリスクを認識し、誰が対応方針を決め、誰が実行するか」という意思決定の経路を明確にすることです。CISO不在のまま情報システム部門の担当者が事実上の最終判断者になっている状態は、指示1・指示2の空白を意味します。この空白を放置すると、インシデント発生時に経営判断が後手に回るリスクが生じます。
委託先管理と自社の責任範囲
重要10項目の指示9は、ビジネスパートナーや委託先を含めたサプライチェーン全体の状況把握と対策を求めています*1。ここで経営が誤解しやすいのは、対策を外部委託すればリスクそのものも移転できるという前提です。
委託先に監視・診断・運用の実務を委ねても、委託先の管理責任(選定・契約条件・報告受領・監督)は委託元である自社に残ります。ガイドラインが求めるのは、自社が委託先の対策状況を把握し、必要な対策導入を促す関係を築くことです*1。委託先任せにして状況を把握しない体制は、指示9が想定する管理体制とは言えません。
自社の責任範囲を明確にするには、委託契約の中で報告頻度・インシデント発生時の連絡フロー・監査対応の可否をあらかじめ定めておく必要があります。委託先が複数階層にわたる場合(再委託)は、再委託先の状況まで確認できる契約設計になっているかも、経営として確認すべき点です。
外部パートナーの活かし方 — 発注前に確認すべき判断材料
監視・診断・運用の実務を専門とする外部パートナーの活用は、限られた社内人材でガイドラインの重要10項目を実行に移す現実的な選択肢です。ただし、発注の判断を現場担当者だけに委ねると、指示2(体制構築)・指示9(委託先管理)の観点が抜け落ちる可能性があります。経営として確認すべき判断材料は次の3点に整理できます。
第一に、対応範囲の明確さです。監視(検知)・診断(脆弱性の洗い出し)・運用保守(対策の維持・更新)のどこまでを委託し、どこからを自社で担うのかを契約前に線引きします。範囲が曖昧なまま発注すると、インシデント発生時に「誰が一次対応するか」が現場で初めて議論される事態になりかねません。
第二に、報告・エスカレーション体制です。委託先からの報告が経営に届く経路(CISOを経由するか、直接報告か)をあらかじめ定めます。平時の月次報告と、緊急時の即時連絡フローは別に設計する必要があります。
第三に、契約終了後・体制変更時の引き継ぎです。委託先を切り替える場合や内製化に移行する場合の、監視ログ・設定情報・対応履歴の引き継ぎ範囲を契約時に確認しておきます。この確認を怠ると、委託先変更時に対策状況の把握が一時的に空白になるリスクがあります。
これら3点は、委託先の技術力とは別に、経営が発注前に確認すべき体制面の判断材料です。技術的な対策の巧拙だけで委託先を選ぶと、指示9が求める継続的な状況把握の仕組みが後回しになりがちです。
まとめ:サイバーセキュリティ経営を進める3つの判断軸
本稿では、サイバーセキュリティ経営ガイドラインの3原則と重要10項目を、経営が担う判断事項として整理しました。要点を3つに集約すると次の通りです。第一に、対策投資を守りのコストではなく事業継続への投資と位置づけ、経営自らが対応方針を表明することです。第二に、CISOを中心とした意思決定経路を明確にし、担当部門任せの空白を作らないことです。第三に、委託先・外部パートナーへの委託後も管理責任は自社に残るという前提で、報告体制と契約設計を経営として確認することです。
よくある質問
サイバーセキュリティ経営ガイドラインは中小企業も対象になりますか。
ガイドラインは企業規模を限定せず、経営者がサイバーセキュリティを経営課題として捉えることを想定した文書です*1。中小企業では専任のCISO・CSIRTを置けない場合もありますが、その場合は兼務や外部委託を組み合わせて重要10項目の考え方を実践する形が現実的です。
CISOはどのような役職の人が担うべきですか。
ガイドラインはCISOを経営者がセキュリティ対策を統括させるために任命する担当幹部と位置づけています*1。特定の役職名を指定するものではなく、経営会議への報告経路と予算・人員配置の決裁権限を持つ立場であることが実務上重要になります。
外部委託先の管理はどこまで自社で行う必要がありますか。
監視・診断・運用の実務を委託しても、委託先の選定・契約条件の確認・報告受領・監督といった管理責任は委託元に残ります*1。委託先からの定期報告とインシデント時の連絡フローを契約時に取り決め、自社として状況を把握し続ける体制が必要です。
ガイドラインへの対応状況を対外的に開示する必要はありますか。
重要10項目の指示10は、サイバーセキュリティに関する情報の収集・共有・開示の促進を経営者への指示事項として挙げています*1。開示の具体的な範囲・様式は業種や取引関係によって異なるため、自社の状況に応じて何をどこまで開示するかを経営として判断する必要があります。
著者:テレリモ総研編集部 鈴木 亮佑
ご不明な点はお問い合わせフォームからもご連絡いただけます。
- *1 出典:経済産業省・独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドライン Ver3.0」(2023年3月改訂)https://www.meti.go.jp/policy/netsecurity/mng_guide.html
- *2 出典:独立行政法人情報処理推進機構(IPA)「サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集」https://www.ipa.go.jp/security/economics/csm-practice.html