経済産業省商務情報政策局サイバーセキュリティ課
課長補佐　石見　賢蔵

経済産業省では、独立行政法人情報処理推進機構（IPA）と協力し、経営者がリーダーシップを取ってサイバーセキュリティ対策を推進するための指針となる「サイバーセキュリティ経営ガイドライン」を平成29年11月16日に改訂しました。

昨今のサイバー攻撃の巧妙化により、攻撃を防御することは難しくなっており、攻撃を受けていること自体に企業が気づかないケースも増えています。
サイバー攻撃を受けてから検知までに要する日数の世界平均が99日であるのに対し、日本を含むアジア諸国は172日もの時間がかかっています(※1)。
このようにサイバー攻撃は受けていることに気づくこと自体が難しいため、見かけ上の被害が発生していないからといって自分たちがサイバー攻撃のターゲットにはなり得ないと判断するのは非常に危険です。サイバー攻撃のターゲットには誰もがなり得るという前提に立ち、日頃から防御・検知・分析の対策を実施することが重要です。

事業継続の観点で見ると、システム障害、自然災害等を想定した復旧訓練は多くの企業で実施されていますが、サイバー攻撃を想定した復旧訓練を実施している企業はまだ少ない傾向にあります。標的型攻撃のように情報の窃取を目的としたサイバー攻撃だけではなく、DDoS攻撃やランサムウェア等の可用性を損なわせることを目的としたサイバー攻撃も増加している状況において、サイバー攻撃による被害から速やかに復旧を行うための体制構築・訓練の実施は重要です。

また、サプライチェーンセキュリティの観点では、米国において2017年12月31日までに防衛調達に関連する企業（米国外の企業も含む）はNIST※2が発行するSP800-171への準拠が要求される等、セキュリティ対策を実施していないとサプライチェーンに参加できなくなる動きもでてきています。

米国ではこうした状況を踏まえて対策方針の見直しが進められ、NISTのCybersecurity Frameworkでは防御の対策だけでなく、検知や復旧等の事後対策の重要性も訴えています。また、昨今の状況を踏まえてCybersecurity Frameworkの改訂作業が行われており、Ver1.1(Draft)ではサプライチェーンに関するセキュリティ対策のための要求事項も追加されています。

このようなサイバー攻撃を取り巻く状況や、グローバルにおけるサイバーセキュリティ対策の動向も踏まえて、経済産業省とIPAはサイバーセキュリティ経営ガイドラインの改訂を行いました。

サイバーセキュリティ経営ガイドラインVer2.0では、経営者がCISO等に指示すべき重要10項目に以下の2項目を追加し、サイバー攻撃を早期に検知するための仕組みを構築すること(指示5)、被害に備えて組織として許容できる時間内で復旧できるように体制を構築すること(指示8)を求めるようにしています。
・指示5 サイバーセキュリティリスクに対応するための仕組みの構築
・指示8 インシデントによる被害に備えた復旧体制の整備

また、「指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握」において委託先が適切なセキュリティ対策を行っているかの確認手段として、SECURITY ACTION※3を実施しているかや、サイバー保険に加入する等によりリスクマネーを確保しているかを確認することを対策例に記載する等、より具体的な対策を追記しました。

その他にも、インシデント発生時に適切な対応を取れるか自信がないという企業からの声も踏まえて、「付録C インシデント発生時に組織内で整理しておくべき事項」を新規に追加しました。付録Cはインシデント発生時だけではなく、インシデントに備えて実施しておくべき対策を検討する上でも参考になりますので、是非ご活用ください。

その他の改訂ポイントについては、「サイバーセキュリティ経営ガイドラインの改訂ポイント※4」をご参照ください。

サイバー攻撃による被害が企業の経営に大きな影響を与えるようになってきている現状において、サイバーセキュリティリスクを経営リスクの一つとして位置づけ、適切なサイバーセキュリティ対策を実施することがこれまで以上に重要になっておりますので、本ガイドラインを是非ご活用ください。

※1 FireEye. Inc. 「M-trends2017：セキュリティ最前線からの視点」
※2 米国国立標準技術研究所（National Institute of Standards and Technology）
※3 https://www.ipa.go.jp/security/security-action/
※4 http://www.meti.go.jp/policy/netsecurity/downloadfiles/overview.pdf

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

※サイバーセキュリティ経営ガイドラインVer2.0はこちらよりダウンロードできます。
　http://www.meti.go.jp/policy/netsecurity/mng_guide.html

【部会・WG便り】

★アイデンティティ管理WGでは、1/16に「クロスボーダー時代のアイデンティ
　ティ管理セミナー」を開催いたします。
　日　程：2018年1月26日（金）14：00-18：00（受付開始 13：00）
　会　場：NTTデータショールーム Inforium（江東区豊洲3-3-3）
　詳細・お申込みはこちらから↓
　https://www.jnsa.org/seminar/2018/0126/index.html

【事務局からの連絡、お知らせ】

★「2017年度JNSA表彰」受賞者が決定しました。
　https://www.jnsa.org/jnsaaward/2017/winner.html

★JNSA主催シンポジウム「NSF2018」を以下の日程で開催いたします。
日　程：2018年1月24日（水）10：00-18：00
会　場：ベルサール神保町（千代田区西神田3-2-1）
詳細・お申込みはこちらから↓
https://www.jnsa.org/seminar/nsf/2018/index.html

★情報処理推進機構(IPA)より「年末年始における情報セキュリティに関する
注意喚起」が公開されています。長期休暇の時期はウイルス感染や不正アク
セス等の被害が発生した場合に対処が遅れてしまう可能性があります。
ぜひご一読下さい。
https://www.ipa.go.jp/security/topics/alert291221.html

★JNSA事務局は以下の期間年末年始休暇とさせていただきます。
2017年12月27日（水）から2018年1月4日（木）
年明けの始業は、1月5日（金）10時からとなります。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第127号
発信日：2017年12月22日
発　行：JNSA事務局　
*************************************