サイバーセキュリティ経営ガイドラインが改訂 サプライチェーンリスクに対する実践的な項目を追加

経産省は経営者がサイバーセキュリティ対策において認識すべき内容をまとめた「サイバーセキュリティ経営ガイドライン」を改訂した。多様化および巧妙化するサイバーセキュリティ攻撃に対処する狙いがある。

[後藤大地，有限会社オングス]

　経済産業省（以下、経産省）は2023年3月24日、「サイバーセキュリティ経営ガイドライン」を改訂したと伝えた。多様化および巧妙化するサイバー攻撃に対し、経営者がリーダーシップを発揮して対応していくために必要になる情報を改訂したとしている。

　サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策において認識すべき項目や、最高情報セキュリティ責任者（CISO）に指示すべき内容などをまとめたものだ。

サイバーセキュリティ経営ガイドラインが改訂された（出典：経産省のWebサイト）

どのような項目が改訂されたのか？

　今回改訂された主な内容は以下の通りだ。

• 経営者が認識すべき3原則に関して、国内外のサプライチェーンでつながる関係者におけるセキュリティの配慮、総合的なセキュリティ対策、社内外との積極的なコミュニケーションの重要性を追加、修正
• 指示5（サイバーセキュリティリスクに対応するための仕組みの構築）に関し、サイバーセキュリティリスクの識別やリスクの変化に対応した見直しおよびクラウドなどの最新技術とその留意点などについて追加、修正
• 指示8（インシデントによる被害に備えた復旧体制の整備）に関し、制御系も含めた業務復旧プロセスと整合性のとれた復旧計画や体制の整備およびサプライチェーンも含む実践的な演習の実施などについての追加、修正
• 指示9（ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握）に関し、サプライチェーンリスクの対応についての役割や責任の明確化、対策導入支援などサプライチェーン全体での方策の実行性を高めることについての追加、修正
• 指示10（情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供）に関し、適切な情報提供の必要性に関する点を強調しつつ、被害報告や公表への備えをすることやステークホルダへの情報開示について追記、修正

　経産省は「サイバーセキュリティ経営ガイドライン」を改訂に合わせて「サイバーセキュリティ経営可視化ツール」も改訂したとしている。