（JNSA社会活動部会　西尾 秀一）

　2016年12月に、経済産業省とIPA（独立行政法人情報処理推進機構）が共同で策定した、サイバーセキュリティ経営ガイドライン※1（以下、「経営ガイド」とします。）が改訂されると共に、ガイドラインの内容を補足し、実施方法を具体的に解説するサイバーセキュリティ経営ガイドライン解説書※2（以下、「解説書」とします。）がIPAから公開されました。

　経営ガイドはサイバー攻撃から企業を守る観点で、経営者が認識する必要のある「３原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめたもので、2015年12月に初公開されたものです。今回の経営ガイドの改訂は、微修正のみとなっており本質的な内容に変更はありませんが、「３原則」のひとつであるセキュリティ投資の動機付けについて、初版では「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい（そのため、どこまで投資するかについてリーダーシップが必要）。」としていましたが、改訂版では「経営戦略としてのセキュ
リティ投資は必要不可欠かつ経営者としての責務である。」と、経営者のサイバーセキュリティの確保は経営層が果たすべき責任の一つであるとしています。
これは、内閣官房サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え方の策定について※3（2016年８月公表）」に示された考え方を受け継ぐものとなっていて、今や環境問題への対策が企業経営者の責任として位置づけられていることと同様の考え方であると言えます。

　さて、今回新たにIPAから公表された解説書ですが、経営ガイドの普及および促進を目的として、経営ガイドに記載された対策の実施手順や検討のポイント等を具体的に説明するものとして作成されたもので、付録も含めて128ページからなる力作となっています。

　全体構成としては、はじめに経営ガイドの「３原則」について解説した後、「重要10項目」それぞれについて、経営ガイドの記載順に解説をしています。
「重要10項目」の解説では、各項目に基づいてCISO等が検討・実施すべき事項を洗い出し、検討すべきポイントや考え方について説明すると共に、検討の際に参考となる参考データ、情報源が記載されています。解説書には想定される読者層として、経営層やCISO等を対象としていると書かれていますが、記載の詳細なレベルを考えるとCISO等を支えるスタッフ向けかもしれません。

　本解説書の特徴として、ECサイトを運営している中小企業（Ａ社）と、電子機器の製造を行う大企業（Ｂ社）という仮想企業２社を設定し、各項目の具体化のヒントとなるような検討手順や実施内容が例示されている点が挙げられます。
若干設定に無理がある部分もありますが、検討の流れを理解するための参考になるでしょう。また、各項目中にはところどころにコラムが挿入されており、検討の際の補足となるような考え方が記載されていますが、意外とコラムに重要なことが記載されていたりしますので、読み飛ばさないように注意が必要です。

　本編の後には付録３として、「サイバーセキュリティ経営チェックシートの実施の目安と確認事項」が附属されていますが、こちらは経営ガイド付録Ａの「サイバーセキュリティ経営チェックシート」において、どこまで実施していたらその項目をクリアすることになるのかという判断基準の参考となります。
また、「サイバーセキュリティ対策に関連する被害事例」として、2011年以降に発生した国内外のセキュリティインシデントにかかる被害事例を、業種毎にどんな被害内容であるかについて、「情報漏えい」「改ざん」「システム障害・破壊」の３分類に分けて整理されたものが添付されていますので、こちらも、他山の石として各種対策を検討する上で参考になるでしょう。

　次に、10項目の解説の中身をいくつかご紹介しましょう。

　まず、「2 リスク管理体制の構築」の項では、「2-2 CISO等に求められること（P25〜）」が記載されています。その中に「CISO等が役割を果たすためには、自社の経営戦略や経営課題について認識、理解していることが重要となります」とあります。これは非常に重要なことで、特に大企業では社内のセキュリティ管理部門が本社スタッフ組織として機能しているような場合、ついつい現場との距離が遠くなってしまい、上意下達的に現場にセキュリティ対策を押し付けて反発をくらうというケースが多々見られます。CISO等が全社および各事業部門の経営的な課題を理解して、現場のリスクを低減させるアドバイスやサポートをすることによって、現場から頼られる存在になることが、CISO等が有効に機能するための近道であると言えます。

　「8 情報収集と情報共有」の項では、「8-2 情報共有・情報提供（P79〜）」が記載されています。その中で、自社で発見した脆弱性情報や、自社に対する攻撃等に関する情報を関係機関に提供することの重要性が記載されています。
IPAやJPCERT/CCのような公的な機関への情報提供はもちろんのこと、最近はICT-ISAC等に代表される業界毎の情報共有の仕組みが再注目されています。
サイバー攻撃は非常に巧妙化しており、一企業で守りきれるものではないため、企業の垣根を超えて業界全体、社会全体でスクラムを組んでサイバー攻撃に対応していこうというメッセージが含まれていると考えられます。

　経営ガイドラインや解説書は、あくまで指針およびその解説という位置づけですので、各項目について検討する際に必ずこれをやらなければならないというものではありませんが、上司や経営層に対して自組織のセキュリティ対策の重要性を理解してもらうために、「経済産業省のガイドラインには、こう書いてある」「IPAの解説書には、こう書いてある」という説得材料のひとつとしての使い方も有効でしょう。

※1 http://www.meti.go.jp/policy/netsecurity/mng_guide.html
※2 https://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html
※3 http://www.nisc.go.jp/active/kihon/pdf/keiei.pdf

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】

★IoTセキュリティWGでは、IoT機器のシステムの脆弱性の脅威一覧表を作成するワークショップを開催いたします。ご興味ある方はぜひ御参加下さい。
　日時：2017年3月1日（水）13：00-17：00
　会場：カスペルスキー東京本社 トレーニングルーム
　　　　東京都千代田区外神田 3-12-8 住友不動産秋葉原ビル 7F
　　　　http://www.kaspersky.co.jp/about/about_us/company
　定員：40名
　申込方法：メールでJNSA事務局までお申込み下さい。

★JNSA西日本支部主催セミナー「NSF 2017 in Kansai」を開催します。
「経営と情報セキュリティ〜経営者にとっての情報セキュリティを再考する〜」
　 日時： 2017年3月1日（水）13時00分〜17時00分（受付開始12時30分）
　 場所： 第二吉本ビルディング　会議室A＋B
　　　　（大阪市北区梅田2-2-2　ヒルトンプラザウエスト8階）
　 プログラム・お申込みは↓こちらから↓
　 https://www.jnsa.org/seminar/nsf/2017kansai/

★3月5日（日）に秋葉原で開催「サイバーコロッセオ×SECCON 2016」参加者募集中です。
お申込み・詳細はこちらから↓
http://2016.seccon.jp/news/#137

【事務局からの連絡、お知らせ】

★JNSAセキュリティしんだん第23弾を公開しました。
「個人情報の高度な暗号化について考える」
　https://www.jnsa.org/secshindan/

★3月にシンガポールで開催される「Black Hat Asia 2017」にJNSAは協力しています。
会員にはディスカウントコードを発行していますので、参加予定の方はぜひ御利用下さい。
（詳細は事務局までお問い合せ下さい）

★JNSAが関係しているセキュリティイベントはこちらに順次掲載しています。
　ぜひご覧下さい。
　https://www.jnsa.org/security/index.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第104号
発信日：2017年2月3日
発　行：JNSA事務局　
*************************************