サイバーセキュリティ経営ガイドラインを改訂しました
2017年11月29日
省庁・団体名
経済産業省
概要
経済産業省は、独立行政法人情報処理推進機構(IPA)と協力し、サイバーセキュリティ経営ガイドラインのより一層の普及を図るべく、当該ガイドラインを改訂しました。
内容
1.背景
経済産業省では、独立行政法人情報処理推進機構(IPA)と協力し、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針となる、「サイバーセキュリティ経営ガイドライン」を平成27年12月に策定し、その普及を行ってまいりました。
昨今サイバー攻撃は更に巧妙化しており、防御が難しく、サイバー攻撃を受けていること自体に企業が自ら気づかないケースも増えるなど、事前対策だけでは対処が困難となってきています。特に、日本を含むアジア諸国は世界の平均よりもサイバー攻撃の発見に時間を要する傾向にあります。一方、米欧では、こうした状況を踏まえて対処方針の見直しが進められ、事後対策を国内企業に求めるなど、検知・対応・復旧といった事後対策の取組にも重点が置かれるようになっています。
こうした状況を踏まえ、経済産業省は、IPAと協力し「サイバーセキュリティ経営ガイドライン改訂に関する研究会」を開催しました。そこでの検討を踏まえ、今般、事後対策の追加などを含めた、サイバーセキュリティ経営ガイドラインの改訂を行いました。
2.改訂のポイント
- 有識者やパブリックコメントにおける御意見等を踏まえ、主に以下の内容について改訂を行いました。
- 経営者が認識すべき3原則は維持しつつ、経営者がCISO等に対して指示すべき10の重要項目について見直しを実施しました。
- 「指示5サイバーセキュリティリスクに対応するための仕組みの構築」に、新たに「攻撃の検知」を含めたリスク対応体制についての記載を行いました。
- 「指示8インシデントによる被害に備えた復旧体制の整備」に、新たに「サイバー攻撃を受けた場合の復旧への備え」についての記載を行いました。
- 「指示9ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」に、サプライチェーン対策強化に関する記載を追記するとともに類似項目の整理を行いました。
- 付録Aに、米国国立標準技術研究所(NIST)発行のサイバーセキュリティフレームワークとの対応関係を提示する変更を行い、チェック項目についても一部追加・修正を行いました。
- 付録Bに、重要10項目を踏まえたサイバーセキュリティ対策を行う際に参考となる各種文献集をまとめました。
- 付録Cに、インシデントが発生したときに組織が整理しておくべき事項を参考情報として新規追加しました。
担当
商務情報政策局 サイバーセキュリティ課長 奥家
担当者:土屋、石見、希代、元木
電話:03-3501-1511(内線 3964~3966)
03-3501-1253(直通)
03-3580-6239(FAX)
公表日
平成29年11月16日(木)