経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説

 2020.03.25  EDR実践ポータル

企業が直面しているリスクの中で、サイバーリスクがもっとも深刻な脅威であることは、繰り返し警鐘が鳴らされ、企業社会の共通認識になっていると言っていいでしょう。サイバーセキュリティ対策は、ITではなく経営の課題であるという点も、徐々にですが浸透してきているようです。

ただ、“経営の課題”と言われても、予算を確保すればいいというわけではありません。それぞれの組織の体制と文化に合わせた取組みが求められますが、経営課題という“抽象論”を具体的な実行計画に落とす段階では、試行錯誤を余儀なくされている組織も多いのが現実ではないでしょうか。

そのような中で日本経済団体連合会(経団連)では、「サイバーリスクハンドブック 取締役向けハンドブック 日本版」を2019年10月31日に公開しました。今回はこの「サイバーリスクハンドブック 取締役向けハンドブック 日本版」のポイントについて解説いたします。

経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説

企業活動における最大の脅威への指南「サイバーリスクガイドブック」とは?

日本経済団体連合会(経団連)では、「サイバーリスクハンドブック 取締役向けハンドブック 日本版」を公開しました。ISA(Internet Security Alliance)と全米取締役協会が作成した冊子をベースに、日本企業の組織と文化を加味した上で編纂したものです。

経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説 1

「サイバーリスクハンドブック」の表紙
出典:日本経済団体連合会

経団連に加盟するすべての企業1,412社(2019年4月現在)に向けたものですが、経営とサイバーセキュリティの接点を模索するすべての事業者にとっても、実践的なガイドラインとして参照できるはずです。取締役向けに特化したこの種の情報は、これまではあまりなかっただけに、国内でも重要な指標の一つとして機能していくと思われます。

経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説 2

参考情報「サイバー攻撃に対するセキュリティ対策の自己評価」
出典:「サイバーリスクハンドブック」(日本経済団体連合会)

 

骨子は「5原則」

「ハンドブック」の骨子は以下の5原則。取締役と取締役会の役割は、国によって相違はありますが、経団連とISAはこの原則は日本企業にも当てはまるとしています。

原則1.

取締役は、サイバーセキュリティを、単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある。

原則2.

取締役は、自社固有の状況と関連付けて、サイバーリスクの法的意味を理解すべきである。

原則3.

取締役会は、サイバーセキュリティに関する十分な専門知識を利用できるようにしておくとともに、取締役会の議題としてサイバーリスク管理を定期的に採り上げ、十分な時間をかけて議論を行なうべきである。

原則4.

取締役は、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立すべきである。

原則5.

サイバーリスクに関する取締役会における議論の内容として、回避すべきリスク、許容するリスク、保険等によって軽減・移転すべきリスクの特定や、それぞれのリスクへの対処方法に関する具体的計画等を含めるべきである。

5原則を概観すると、“サイバーリスクの法的意味を理解する”“十分な人材と予算の投入”“リスクに対する優先度を設定すべき”など、セキュリティ対策としては一般的な内容ですが、取締役が取るべき行動を具体的に述べている点が特徴です。

前提は“リスクのデジタル化”と“攻撃の100%回避は困難”

まず「ハンドブック」全体の前提となっている内容に触れておくと、“企業リスクのデジタル化”と“侵入は不可避”の2点です。

前者は、“過去25年で企業の資産は、物理的なものからバーチャルなものへ移行し、「フォーチュン500」の企業の総資産価値の90%近くが、知的財産権(IP)やその他の無形資産で構成されている” (「はじめに」の内容を抽出)という実態。これに伴い、企業に降りかかるリスクも、IPや経営情報の損失、それに付随する社会的信用の低下など、デジタル資産の管理に依存しているという指摘です。

もう1点の「攻撃の100%回避は困難」ですが、要因は近年のサイバー攻撃の先鋭化です。“本当に高度な能力を持つ攻撃者がある企業をターゲットにすれば、ほぼ間違いなく侵入できるのが現実”(同)。この実態は、IT部門やセキュリティ関係者には浸透していると言えますが、取締役のレベルも認識を共有しておくことは不可欠でしょう。

5原則のポイントを抽出

5原則の要点を抽出してみましょう。視点としては、実行計画の立案や取締役会における議題など、具体的な行動と直結する内容にウェートを置きます。セキュリティ対策が必要な背景やサイバー攻撃の概要、事例などを含む全体像は、適宜「ハンドブック」本体も参照してください。

原則1.

取締役は、サイバーセキュリティを単なるITの問題としてではなく、全社的なリスク管理の問題として理解し、対処する必要がある。

原則1のポイントは以下に集約できます。

  • サプライチェーン攻撃のリスク
  • 機密性が高いデータを特定
  • サイバーリスクを取締役会/委員会の議題に含める

複数の国、地域にまたがるサプライチェーンを基盤に事業展開する企業は多く、チェーンに関わる1社でも侵害を受けると、脅威が横展開するリスクがあります。また情報システムのクラウド化も進み、重要な情報資産が自社の管理下にはないケースも増えてきました。

取締役会は、このような現実を踏まえ、サイバーリスクを大きなビジネスエコシステムの中で捉えていかなければなりません。加えてセキュリティ対策の立案に際しては、企業が保有する重要資産、機密性の高いデータの特定を定期的に議論し、対策に反映させることが重要としています。

原則2.

取締役は、自社固有の状況と関連付けて、サイバーリスクの法的意味を理解すべきである。

原則2では、以下の点を強調しています。

取締役会で検討すべき事項(以下、4点)

  • セキュリティとサイバーリスクに関する議論の記録の維持
  • 企業の業界、地域、部門固有の各種法規制に常時通じておく方法
  • 企業のセキュリティ対策を受け、常に進化する攻撃に対するリスク分析の方法
  • サイバー攻撃を受けた際に何を公表すべきか

サイバーセキュリティに関する法規制は複雑、かつ社会情勢に応じて変化もしているため、個人情報保護を含む法規制の内容を常に意識し、上記の行動に反映していくべきとしています。

また、法規制に関連する取締役会の役割に言及した情報として、日本版では以下の2点も示していますので、必要に応じて当該サイトなどを参照してください。

「コーポレートガバナンス・コード(原則4-3)」(東京証券取引所

「グループ・ガバナンス・システムに関する実務指針」(経済産業省

原則3.

取締役会は、サイバーセキュリティに関する十分な専門知識を利用できるようにしておくとともに、取締役会の議題としてサイバーリスク管理を定期的に採り上げ、十分な時間をかけて議論を行なうべきである。

原則3.のポイントは以下に集約できます。

取締役会に豊富な知見を導入する。具体的な方法として、

  • 取締役会にIT専門家を加えることを検討する
  • 第三者にセキュリティ戦略の詳細を説明し評価を委ねる
  • JPCSIRT/CC、IPA(情報処理推進機構)、業界別ISAC等、知見を有する独立機関の活用
  • 取締役向け教育プログラムへの参加、等

取締役会におけるサイバーリスク報告の体制を強化

  • 取締役が報告を必要とする情報を明示する
  • 担当者はリスクを低くみる傾向にある点に留意(“緊急時まで報告しない”が60%)

取締役の多くは、特定分野、経営のエキスパートでITの専門家ではありません。重要な点は、サイバーリスクはITではなく企業全体のリスク管理の問題と捉える視点を持つこと。IT部門に丸投げをせず、企業運営の検知から問題に対処するには、取締役自身にもある程度のスキルは必要で、内容的には原則1.で示した要素の基本理解としています。

経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説 3

参考情報「サイバーセキュリティに関する議論を行なう頻度」
出典:「サイバーリスクハンドブック」(日本経済団体連合会)

原則4.

取締役は、十分な人員と予算を投じて、全社的なサイバーリスク管理の枠組みを確立すべきである。

原則4.では、全社的な推進体制の構築について言及しています。

自社独自の体制、自社を取り巻く環境を考慮し、企業としての枠組みを確立する

技術的管理の枠組み

  • 米国ではオバマ政権がNISTにフレームワークの開発を指示(2013)
  • NISTの仕様は米国から世界に拡がる傾向にあり国内でも参照される機会は多い

※NIST(National Institute of Science and Technology:米国 国立標準技術研究所)

国内で参照される代表的フレームワーク

NISTのフレームワーク、経産省の管理基準、ガイドライン、そして情報セキュリティマネジメントシステム(ISMS)の国際規格であるISO/IEC 27001は、多くの企業が採り入れています。取締役のレベルでも、代表的な基準の概要は押さえておくべきでしょう。

原則5.

サイバーリスクに関する取締役会における議論の内容として、回避すべきリスク、許容するリスク、保険等によって軽減・移転すべきリスクの特定や、それぞれのリスクへの対処方法に関する具体的計画等を含めるべきである。

原則5.は、企業運営に関与する取締役の視点が不可欠なセキュリティ対策について述べています。ポイントは以下に集約できます。

リスクには複数の種類とそれに向けた対処があり、取締役会は担当部署に対し明示を求めるべき

以下の視点から、企業のデジタル資産を見極める

  • 侵害を許容できるデータ、システム、事業活動はどれか
  • 機密性が高いデジタル資産の特定とその他のデータとの区分(原則1参照)

サイバーリスクを軽減するための投資の適切な配分

基本的防御と高度な防御があり重視すべきは後者(平準化している企業が多い)

サイバーセキュリティ保険など、利用できるリスク移転策を考慮

サイバーリスク対策の優先度設定は重要で、重要度が高い情報、機密性が高いデータ、システムを区分し、それぞれに応じた対策を取らなければなりません。計画の立案には取締役の視点からの判断が不可欠で、その意味では原則5.は、ハンドブックの特徴がよく表れている部分と言えるでしょう。

サイバーリスク対策は企業活動の“ブレーキ役”ではない

巻末には「まとめ」が記されており、“リスクのデジタル化”と“侵入は不可避”を再確認した上で、セキュリティ対策に必要なコストは激増していること、ITのイノベーションが起きると同時にサイバーリスクも増加する点などが強調され、取締役、取締役会は、セキュリティに関する法律上の問題を理解した上で、十分な情報、十分な時間を確保した上で、議論を続けるべきとしています。

“得てして、サイバーセキュリティはビジネス活動に対するブレーキ役であるかのように受け止められるが、そうではなく、デジタル技術を活かして企業を成長させていく上での重要な手段と位置付けたいと思う”。

「まとめ」からの一節です。続けて、杓子定規なルールや利用制約を設けるのではなく、それぞれの企業固有の文化に根ざしたバランスの良い取組みが重要であり、取締役会は常にこの視点から正しい質問を発し、議論をリードすべきとしています。

“セキュリティ対策はブレーキ役に非ず”とするコンセプトは、取締役のレベルだけではなく、すべての企業の現場でセキュリティシステムの起案、設計、構築、運用を担う人たちも共有すべき、重要な提起ではないでしょうか。

付属資料

「ハンドブック」には、以下の資料が貼付されています。

  • 付属資料A.「取締役自身のセルフチェック10個の質問」
  • 付属資料B.「NISTサイバーセキュリティフレームワーク」
  • 付属資料C.「サイバーリスク・ヒートマップを活用したリスク管理」
  • 付属資料D.「サイバーセキュリティに関する取締役会の姿勢・文化に関する評価」

資料A.は、自社のセキュリティ対策を全体的に検討したか否かを取締役自身が確認できるシート。B.は各国の政府機関やセキュリティ企業などが参照しているNISTのフレームワークで、「特定・防御・検知・対応・復旧」で構成する各フェーズの概要が示されています。

C.は、自社のセキュリティ対策の優先度を設定する上で参考になる資料、そしてD.は取締役会のセキュリティに対する姿勢・文化を自己評価できるシートです。必要に応じて参照してください。

経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説 4

「サイバーセキュリティに関する取締役会の姿勢・文化に関する評価」(付属資料D.)
出典:「サイバーリスクハンドブック」(日本経済団体連合会

New call-to-action

脅威ハンティングの最前線 2019年版
ENDPOINT DETECTION AND RESPONSE

RELATED POST関連記事


RECENT POST「セキュリティ全般」の最新記事


経団連の経営者向けセキュリティガイドライン「サイバーリスクハンドブック」の概要を解説
セキュリティ侵害を防止する革新的システム

RANKING人気資料ランキング

RECENT POST 最新記事

ブログ無料購読

RANKING人気記事ランキング