経済産業省はこのほど、サイバー攻撃から企業を守る観点で、経営者が認識する必要がある事項などをまとめた「サイバーセキュリティ経営ガイドライン」を５年ぶりに改訂した。サイバー攻撃の多様化・巧妙化に伴い、サプライチェーン全体を通じた対策推進の必要性が高まっている現状を踏まえ、有識者や関係者を交えた研究会を開催し、改訂を行った。

同ガイドラインは、同省と独立行政法人情報処理推進機構（ＩＰＡ）が経営者主導の下で組織的なサイバーセキュリティ対策を実践するための指針として２０１５年に策定、普及を図ってきた。17年に第２版を公開したが、それ以降、企業のサイバーセキュリティ対策を取り巻く環境は変化。特に、サイバー攻撃の多様化・巧妙化に伴い、サプライチェーンを介したサイバーセキュリティ関連被害が拡大していることから、今回、サプライチェーン全体を通じたセキュリティ対策の推進についての記述を強化した。サプライチェーンリスクへの対応に関しての役割・責任の明確化、対策導入支援などサプライチェーン全体での方策の実効性を高めることなどについて追記・修正を行っている。

サイバーセキュリティ対策における企業などの経営者にはさらなるリーダーシップの発揮が求められていることなどを踏まえ、経営者が認識すべき３原則について、取引関係にとどまらず、国内外のサプライチェーンでつながる関係者へのセキュリティ対策への目配り、総合的なセキュリティ対策の重要性や社外のみならず、社内関係者とも積極的にコミュニケーションを取ることの必要性などについて見直しを実施。事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備やサプライチェーンも含めた実践的な演習の実施などについても説明が加えられている。

また、この改訂に合わせて、サイバーセキュリティの実践状況をセルフチェックで可視化できるＩＰＡの「サイバーセキュリティ経営可視化ツール」についても改訂を行っている。

詳細は、https://www.meti.go.jp/press/2022/03/20230324002/20230324002.htmlを参照。