「サイバーセキュリティ経営ガイドライン」はどの程度活用されているのか？：批判も少なくないが……

「サイバーセキュリティ経営ガイドライン」を振り返る

「サイバーセキュリティ経営ガイドライン」（外部リンク）

　日本の多くの企業では長らく、サイバーセキュリティ対策はIT部門やCSO、CISOがトップから「よろしく頼む」と押し付けられるもの、という時代が続いていた。ところが、2015年の日本年金機構や2016年のJTBに対する標的型攻撃に起因する情報漏えい事件、あるいは不正送金マルウェアやランサムウェアのまん延によって、少なからぬ企業が損害を被るに至り、風向きは少しずつ変わってきている。

　事実、過去に発生した情報漏えい事件では、顧客対応や原因究明に掛かる直接的なコストだけでなく、株価の下落や経営層の責任追及といった問題につながったことで、事業継続において大きな痛手を被った企業もあった。こうした事件の経験から、サイバーセキュリティを経営リスクの1つとして捉えて対処することが、企業存続には欠かせないという認識が経営層などの間でも広まってきた。そこで、経済産業省と情報処理推進機構（IPA）が2015年12月28日に公開したのが「サイバーセキュリティ経営ガイドライン Ver 1.0（pdf）」だ。

経営層に向けたメッセージが込められたガイドライン

　このガイドラインは、「サイバーセキュリティ経営の3原則」と「サイバーセキュリティ経営の重要10項目」から構成され、これに現場担当者向けのチェックシートや具体的な対策方法をまとめた「付録」が付随する構成となっている。

　3原則の中で真っ先に挙げられている「経営者は、サイバーセキュリティリスクを認識し、リーダーシップをとって対策を進める必要がある」という文言が、このガイドラインの要を表している。IT部門やシステム委託先に丸投げするのではなく、わが事としてサイバーセキュリティを考え、適切に経営資源――予算や人材――を投じよというのだ。そして3原則ではさらに、さまざまなシステムやユーザーがつながることを前提に「自社だけでなく、サプライチェーンのパートナーやシステム管理の委託先も含めた対策が必要」「有事だけでなく平時から情報共有を行い、適切なコミュニケーションを取る」とある。

　いざというときの意思決定を行うのは、やはり経営者の役割だ。CISOなどの担当者から上げられた情報を基に、「どの程度のリスクがあるのか」「それはシステム停止と引き換えにしてでも対処すべきものなのか」といった判断を下し、関係者に情報開示することを本ガイドラインでは求めている。結果として担当者に具体的な対策を任せるという点は同じでも、丸投げではなく、「経営側が自社にとってどんなリスクがあるのかを理解した上で、自らのイニシアチブの下で対策を進めよ」としているわけだ。

　ところで、このガイドラインに対しては「これまでも指摘されてきた基本的な事柄が中心で、具体的な記述に欠ける」といった批判もある。また、このガイドラインは強制力を持ったものではないため、「どう扱うべきか悩ましい」という悩みも聞かれる。そこで以下では、本ガイドラインの策定に関わった経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 石見賢蔵氏に、ガイドラインの普及状況や活用のポイントなどについて聞いた。

活用は進んでいる？――経産省インタビュー

編集部　「サイバーセキュリティ経営ガイドライン」の公開から半年以上がたちましたが、活用は進んでいるのでしょうか？

石見氏　具体的なデータはないのですが、大企業を中心に、経産省に対する講演依頼などが増えています。また、企業自身が実施しているセミナーについても、「本ガイドラインをテーマにしたものはすぐに定員に達する」といった声を聞きます。そういう意味では、反響は大きいと考えています。

編集部　そうしたセミナーに参加されるのは、経営層の方が中心ですか？

石見氏　はい。特に大企業の経営層の方が多く参加されます。一方で、中小企業の参加者は多くありません。中小企業の方々に対して、「『サイバーセキュリティ経営ガイドライン』をご存じですか？」と聞いても、「知らない」と答える人が大多数です。この点は、経産省でも課題だと認識しています。

編集部　経産省として、中小企業向けに本ガイドラインの認知度を高めていくための活動は行っているのでしょうか？

石見氏　現在IPAで、サイバーセキュリティ経営ガイドラインに関する追加の“解説書”を作成しています。また、本ガイドラインの要素を考慮して、「中小企業の情報セキュリティ対策ガイドライン」の改訂を行っています。いずれも2016年中には公開を予定しています。

編集部　現在公開されているガイドラインのVer 1.0に対して、課題を指摘する声はあったのですか？

石見氏　「サイバーセキュリティ経営ガイドライン」の中で10項目を挙げていますが、これを見た方々から「具体的な実施手順が分からない」といった指摘を頂いています。また、一般的な中小企業からは、「CISO、CSIRTといった言葉の意味が分からない」という反応も頂いています。こうした声は経産省としても認識しています。そこで先に述べたように、各項目についてより具体的な手順を解説したような解説書や、中小企業向けに内容をかみ砕いたガイドラインを作成しようと考えています。

編集部　活用に成功している例はありますか。

石見氏　既にしっかりとセキュリティ対策を行ってきた大企業などが、確認として「この10項目が実施できているか？」とチェックを行っているようなケースでは、ガイドラインがうまく生かされています。

編集部　中小企業の経営層の間で、本ガイドラインの認知度が低いとのお話がありました。逆に中小企業のセキュリティ担当者や情シス担当者でこのガイドラインをご存じの方が、上の人たちに向けてセキュリティ対策の必要性を訴えるために、このガイドラインを利用するといった事例はありますか？

石見氏　そうした活用方法もあると思います。サイバーセキュリティ全般の課題ですが、経営層の間では「セキュリティ＝コスト」というネガティブな印象が依然存在します。現場の方からも、経営側に伝わる言葉に翻訳して、セキュリティ対策の必要性を訴えていく必要があるでしょう。

セキュリティ担当者向け、ガイドラインのお勧め活用方法

編集部　ガイドラインにある10項目のうち、セキュリティ担当者に向けて、特に推奨したいポイントはありますか。

石見氏　もちろん全て大切なのですが、項目の中で特に意識しておいてほしいのは3つ目の「経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること」です。各所で識者の方もおっしゃっていますが、「守るべき資産を特定する」ということですね。どんな資産を守るべきなのかを知らないと、「アクセス制御」や「暗号化」といった機能単体を入れても意味がありません。自分たちがどんな情報を持っているのか、それを奪われると事業にどんな影響があるのかを把握した上で、「コストを掛けて守るべきものはどれか」を決めることが大切です。

　他には、9番の「サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、CSIRTの整備や、初動対応マニュアルの策定など緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施すること」も重要です。経営層だけでなく、現場の方々も、自組織の体制がどうなっているのかきっちりと把握しておいてほしいと思います。そうでなければ、「万一の際に誰に報告すればよいのか分からない」といった事態に陥りかねません。

　これらはいずれも、自社に適した形で当てはめていくことで、本当に活用できるものです。従って、具体的な部分は各企業で考えていただく必要があります。このガイドライン、それから年内に公開予定の追加文書は、そのための“参考文献“と捉えていただければと思います。

編集部　こういったガイドラインを基に、実際に担当者が自社にセキュリティ対策を適用していく上で、どんな知識／スキルが必要でしょうか？ 「付録」には現場担当者向けの参考文書なども記載されていますが、特にこれだけは目を通しておいてほしいというものはありますか？

石見氏　技術的な細かい部分については、もちろん分かっているのが望ましいですが、必ずしも理解しておく必要はないと思います。それよりは、「セキュリティとはこういうものだ」という大枠について理解しておくことが大切です。あとは、外部ベンダーと会話ができるような知識があれば十分でしょう。付録は、当然全て重要なのですが、担当者の方の負荷を考えれば、全て読み込むのは難しいかもしれません。最低限、IPAの「安全なWebサイトの作り方」などは見ておいてほしいと思います。Webと無縁な企業は存在しませんから。

編集部　最後に、現在の企業のセキュリティ対策の状況について、最大の課題はどこにあると認識されていますか？

石見氏　やはり、「サイバーセキュリティを自分ごととして捉えられていない」というのが最大の課題だと感じています。セキュリティインシデントによって自社にどれだけの被害、インパクトがあるのかを考えられていない。経営層が考えるのも大切ですが、先ほども述べたように、現場の人たちがセキュリティ対策の重要性を、うまく翻訳して上に伝えることも大切です。ただ今のところ、「経営とセキュリティの両方が分かる人材」というのはすごく“レア”なのかもしれません。

　それから、セキュリティにはどうしても「事故は発生しなくて当たり前」という雰囲気があります。経営層も、「セキュリティ事故0」といった目標を目指しがちです。しかしそれは現実的に不可能です。そうではなくて、「やるべき対策は100％やっている」ということを評価するようにしていくべきだと考えています。そうでなければ、セキュリティ担当者のモチベーションも上がらないでしょう。

　セキュリティを“自分ごととして捉え”、一般的な中小企業でも具体的な対策を実施できる指針として「サイバーセキュリティ経営ガイドライン」のような文書が活用されれば、誰にとっても望ましいことだろう。しかし実際には、本ガイドラインについては、上述のように幾つかの課題も指摘されている。そこで本稿では、現状の「サイバーセキュリティ経営ガイドライン」の活用実態について知り、その課題を掘り下げていくべく、読者アンケートを実施する。記事上下のリンクからアンケートページに移動できるので、ぜひご協力いただきたい。