「サイバーセキュリティ経営ガイドライン Ver3.0」の改訂概要

この資料の趣旨

目的

• サイバーセキュリティ経営ガイドラインの改訂内容を早期に把握することにより、2023年度以降の対応を速やかに行うための参考情報を提供する。

概要

• 経済産業省商務情報政策局サイバーセキュリティ課は、2022年10月26日に「サイバーセキュリティ経営ガイドライン Ver3.0(案)」を策定し、意見募集が行われていた。
• 意見募集の内容を踏まえて、2023年3月24日、正式版が公開された。
• 本ページでは、今回公表された正式版について、検討経緯を含めて、内容概要を整理し提示する。

引用元

• サイバーセキュリティ経営ガイドラインと支援ツール
  • サイバーセキュリティ経営ガイドライン Ver3.0（PDF形式）【2023年3月27日METI】
  • 付録C サイバーセキュリティインシデントに備えるための参考情報（Excel形式）【2023年3月27日METI】
• サイバーセキュリティ経営ガイドライン Ver3.0（案）に対する意見募集【2022年10月26日e-GOV】
• 第8回産業サイバーセキュリティ研究会 ワーキンググループ2（経営・人材・国際）資料3【2022年3月23日METI】

この資料の改版履歴

• 2023年3月27日 正式版対応
• 2022年10月26日 パブリックコメント版対応

サイバーセキュリティ経営ガイドラインVer2.0 からの主な変更点

（１） 「サイバーセキュリティ経営ガイドライン・概要」の内容を見直し

• 企業リスクマネジメントの一部としてサイバーセキュリティ対策の必要性やサイバーセキュリティ対策における経営者の責務などを記載しました。

（２） 経営者が認識すべき３原則について、記載の見直し等

• 主な変更後の記載は以下のとおりです。
• 対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
• サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載
• 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載

（３）CISO 等に対して指示すべき１０の重要項目について、記載の見直し等

• 主な変更後の記載は以下のとおりです。
• 指示３について、
  • セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
• 指示８について、
  • 事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
• 指示９について、
  • 自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
• 指示１０について、
  • 有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載
• その他、全体的に対策を怠った場合のシナリオや対策例の追記等

（４） その他、全体的な表現等の見直し

【検討経緯】サイバーセキュリティ経営ガイドラインの改訂へのステップ

(※引用元：第8回産業サイバーセキュリティ研究会 ワーキンググループ2)

1st Step サイバーセキュリティ経営の明確化

• サイバーセキュリティ経営ガイドラインの普及・定着、状況変化を踏まえた改訂
  • サイバーセキュリティ経営ガイドラインについて、前回改訂時（平成29年11月）以降のサイバーセキュリティ経営を取り巻く情勢の変化等を踏まえ、「2022年度中に改訂。サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)のコンセプトの反映やサプライチェーンの再整理など、所要の改訂を行う」とされていた。
• 課題
  • 現行のガイドラインの普及により経営層の意識は高まりつつあるものの、サイバーセキュリティ対策が事業継続や新たな価値創出のために不可欠な「投資」と捉える意識改革が引き続き重要。
  • 他方、前回の改訂以降、サイバーセキュリティ経営を取り巻く情勢の変化（サプライチェーンの複雑化、ステークホルダーの広がり等）や、関連ガイドライン・ツールの策定・更新等（2019年サイバー・フィジカル・セキュリティ対策フレームワークの公表等）も生じているところ。
• 対応
  • セキュリティはコストではなく投資であるとの位置づけや経営者がリーダーシップを取ってセキュリティ対策を推進していくことが重要であることを示す現行ガイドラインの基本的な方向性は維持。認識の促進を継続。
  • 他方、新たな概念等も盛り込む形でアップデートを図り、より適確な形でサイバーセキュリティ経営の必要性を伝達。
• ＜サイバーセキュリティ経営ガイドラインの改訂に向けた検討項目案＞
  • • CPSF等新たなガイドラインのコンセプトの反映
  • • サプライチェーンの再整理
  • • 経営者がコミュニケーションを行うべき関係者の再定義
  • • クラウド等最新技術と留意点の盛り込み
  • • 制御系を含むインシデント演習の必要性の加筆等

2nd Step サイバーセキュリティ経営の実践

• DXの進展を踏まえ、サイバーセキュリティリスク対応の重要性に対する意識啓発を推進
• 投資家等ステークホルダーを通じたサイバーセキュリティの重要性の啓発
• GGS(グループ・ガバナンス・システム)ガイドラインにサイバーセキュリティを反映
• プラクティス集、人材の手引きの整備により、サイバーセキュリティ経営を現場レベルで推進

3rd Step セキュリティの高い企業であることの可視化

• 可視化ツールの普及によるサイバーセキュリティ経営の可視化の推進
• セキュリティの高い企業であることを投資家が評価できるようにするためのサイバーセキュリティ経営に関する情報の開示の在り方の検討

【参考】サイバーセキュリティ対策の各種取り組みの概念図

サイバー・フィジカル・セキュリティ対策フレームワークを軸とした各種取組


サイバーセキュリティ経営ガイドラインの体系


中小企業のサイバーセキュリティ対策促進の全体像

• 各施策ツールの普及啓発に加え、中小企業やサプライチェーンのセキュリティ対策実態・施策ツール認知度等を調査。これらの結果や新たな課題を踏まえ、今後もさらなる対策促進を図る。 　

今後の取組 調査を踏まえた現状の課題と今後の方向性

• 中小企業におけるセキュリティ対策を推進するために、中小企業のターゲットごとに既存制度を活用したアプローチ、サプライチェーン・サイバーセキュリティ・コンソーシアム（SC3）参加団体や業界の取組に沿った制度普及を図る。
• いくつかの業界において既に策定されているガイドライン等を元に、共通的に求められる項目を抽出し、業界ガイドラインの共通項としてとりまとめ、発信するとともに、業界横断でベストプラクティスの情報発信を行う。 　

今後の取組 SC3における中小企業セキュリティ対策向上の今後の取組


既存施策 中小企業向けセキュリティ対策ツール

• 中小企業の情報セキュリティ対策ガイドライン（第3版2019年3月）
• 中小企業が情報セキュリティ対策に取り組む際の経営者が認識し実施すべき指針、社内において対策を実践する際の手順や手法をまとめたもの。
• 第3版より、付録6として、クラウドサービスを安全に利用するための留意事項やチェック項目を記載した手引きを追加。