経済産業省はこのほど、サイバーセキュリティ対策推進の基盤であり、経営者が積極的に関わるべき「リスク管理体制の構築」と「人材の確保」について具体的な検討を行う際のポイントを解説した「サイバーセキュリティ体制構築・人材確保の手引き」をリニューアルし、第2・0版として公開した。改定版では、読みやすさを重視し、ポイントを絞って検討手順を明確化するとともに、一部内容を更新・拡充した。
手引きは、経産省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン」の付録として、2021年4月に第1・1版を公開。今回、より読みやすくリニューアルした。対象として「経営者・経営層」「最高情報セキュリティ責任者(CISO)、セキュリティ統括担当者」「事業部門の責任者、人事部門担当者、セキュリティに関心のある人」などを想定している。
手引きでは、始めに経営者が認識すべき3原則として、「サイバーセキュリティリスクの認識とリーダーシップによる対策推進」「ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策」「平時および緊急時のサイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーション」が必要と提示(図参照)。また、経営者がCISOに指示すべき10の重要事項として、①サイバーセキュリティ対応方針策定、②リスク管理体制の構築、③資源(予算、人材など)の確保、④リスクの把握と対応計画策定、⑤保護対策(防御・検知・分析)の実施、⑥PDCAの実施、⑦緊急対応体制の整備、⑧復旧体制の整備、⑨サプライチェーンセキュリティ対策、⑩情報共有活動への参加―を示した。
「リスク管理体制の構築」と「人材の確保」について、それぞれ重要事項は「ポイント」としてまとめ、本文で詳細に解説。有用と思われる補足内容は「コラム」として囲み記事にして紹介している。また、企業におけるデジタル活用が進展する中、「プラス・セキュリティ」(自らの業務遂行に当たってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身に付ける)の必要性についても解説している。
同省は、サイバー攻撃の高度化・巧妙化に対処するため、手引きの内容確認や自社の対策への活用を呼び掛けている。
詳細は、https://www.meti.go.jp/policy/netsecurity/tebiki_taisei_jinzai.htmlを参照。
最新号を紙面で読める!