メディア

サイバーセキュリティ経営ガイドラインが改訂　サプライチェーンリスクに対する実践的な項目を追加

経産省は経営者がサイバーセキュリティ対策において認識すべき内容をまとめた「サイバーセキュリティ経営ガイドライン」を改訂した。多様化および巧妙化するサイバーセキュリティ攻撃に対処する狙いがある。

» 2023年03月28日 08時00分公開

[後藤大地，有限会社オングス]

この記事は会員限定です。会員登録すると全てご覧いただけます。

　経済産業省（以下、経産省）は2023年3月24日、「サイバーセキュリティ経営ガイドライン」を改訂したと伝えた。多様化および巧妙化するサイバー攻撃に対し、経営者がリーダーシップを発揮して対応していくために必要になる情報を改訂したとしている。

　サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策において認識すべき項目や、最高情報セキュリティ責任者（CISO）に指示すべき内容などをまとめたものだ。

サイバーセキュリティ経営ガイドラインが改訂された（出典：経産省のWebサイト）

どのような項目が改訂されたのか？

　今回改訂された主な内容は以下の通りだ。

経営者が認識すべき3原則に関して、国内外のサプライチェーンでつながる関係者におけるセキュリティの配慮、総合的なセキュリティ対策、社内外との積極的なコミュニケーションの重要性を追加、修正
指示5（サイバーセキュリティリスクに対応するための仕組みの構築）に関し、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しおよびクラウドなどの最新技術とその留意点などについて追加、修正
指示8（インシデントによる被害に備えた復旧体制の整備）に関し、制御系も含めた業務復旧プロセスと整合性のとれた復旧計画や体制の整備およびサプライチェーンも含む実践的な演習の実施などについての追加、修正
指示9（ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握）に関し、サプライチェーンリスクの対応についての役割や責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについての追加、修正
指示10（情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供）に関し、適切な情報提供の必要性に関する点を強調しつつ、被害報告や公表への備えをすることやステークホルダへの情報開示について追記、修正

　経産省は「サイバーセキュリティ経営ガイドライン」を改訂に合わせて「サイバーセキュリティ経営可視化ツール」も改訂したとしている。

西本逸郎氏、佐々木良一氏が語る　経営者はランサムウェアとどう付き合っていくべきか
ランサムウェアはいまや事業継続を脅かす深刻な経営リスクだ。「今後のデジタル社会において恐らく最大の危機になる」ランサムウェアに経営者はどう立ち向かっていけばいいのか。ラック社長の西本氏と東京電機大学名誉教授総合研究所客員教授の佐々木氏の対談から解決策を探る。
経営者が知るべきセキュリティ人材育成の今　ラック西本氏×電大の佐々木氏が語る
ランサムウェア攻撃が高度化する中、自社のセキュリティ体制を強化したいと考える企業も多いはずだが、そのためのセキュリティ人材をなかなか確保できないという現状がある。これを解消するためにはどうすればいいのか。ラック西本氏と東京電機大学の佐々木氏の対談からヒントを見つけていこう。
セキュリティ事故発生時の“正しい記者会見のやり方”って？　CISOの強い味方が登場
自社のセキュリティ戦略をどう進めるべきかに悩むCISOや経営者の強い味方となる書籍が発売されました。その名も「CISOのための情報セキュリティ戦略――危機から逆算して攻略せよ」です。本書の“何がすごいのか”を紹介していきましょう。
悩めるCISOやCSIRT、セキュリティ担当者を助ける“教科書”とは？
最近、CISOやCSIRT担当者、現場のセキュリティ担当者のための資料やドキュメントが充実してきたように感じます。今回はその中でも「セキュリティ対応組織の教科書」について紹介しましょう。手探りでセキュリティを進めている担当者は必見です。