内閣サイバーセキュリティセンター(NISC)

本文へ

文字サイズ

English

コラムアーカイブ

サイバーセキュリティに配慮した企業になる

公開日:2022/10/18 想定読者層:企業 テーマ: 経団連サイバーセキュリティ経営宣言

経団連が「経団連サイバーセキュリティ経営宣言 2.0」を公開しました。

https://www.keidanren.or.jp/policy/2022/087.html

ポイント:
・経団連サイバーセキュリティ経営宣言が4年半ぶりに改定
・経済界はサイバーセキュリティへの取り組みを重要視
・宣言の内容は「セキュリティに配慮した企業」と評価されるためのヒントになっている

◆経団連サイバーセキュリティ経営宣言

経団連は、SDGsの実現に向けた価値創造やバリューチェーン構築、リスクマネジメントの観点から、実効あるサイバーセキュリティ対策を講じることは、すべての企業にとって経営のトッププライオリティと言っても過言ではないとし、経済界が全員参加でサイバーセキュリティ対策を推進して、安心・安全なサイバー空間の構築に貢献すべく努める内容を「宣言2.0」として発表しています。

今回の「宣言2.0」は、2018年3月の初版発表から4年半ぶりの改訂で、デジタルトランスフォーメーション(DX)やサプライチェーンを意識した内容となっています。

DXが進む今、サイバーセキュリティは「うちの会社には関係ない」という話ではありません。各企業でCSR活動の中で推進されている「環境への配慮」と同様に、「サイバーセキュリティへの配慮」は自社を守るだけでなく顧客などステークホルダーを守るために必要という意思が「宣言 2.0」から読み取れます。

◆経営課題としての認識と責任

宣言「1. 経営課題としての意識」では、「経営者自らがデジタル化に伴うリスクと向き合い、セキュリティ強化を経営の重要課題として認識し、リーダーシップを発揮しつつ、自らの責任で対策に取り組む」と書かれています。

企業においてサイバーセキュリティはトップダウンでの推進も望まれています。経営者自らDXはじめ社会のトレンドを俯瞰的に把握し、企業およびステークホルダーを守るためにリードする姿を示すことで、より推進力が高まります。

また、宣言「4. 対策を講じた製品・システムやサービスの社会への普及」には「製品・システムやサービスの開発・設計・製造・提供をはじめとするさまざまな事業活動において、サイバーセキュリティ対策に努める」と書かれています。

通信ネットワークやインターネットサービスは、いまや社会基盤となっていますので、自社が関係するさまざまな「モノ」にサイバーセキュリティ対策の配慮をすることが企業の責任である。このように考えることの重要性が「宣言 2.0」から感じ取れます。

◆インシデントを想定した社外を含めた体制構築

宣言「3. 社内外体制の構築・対策の実施」と「5. 安心・安全なエコシステムの構築への貢献」では「予算・人員等のリソースを十分に確保」「経営・企画管理・技術者・従業員の各層における人材育成」「情報共有や国内外における対話、人的ネットワーク構築」など、社内はもちろんのこと社外との体制や連携について書かれています。

サイバーセキュリティ対策では、守るべき対象の把握・特定やその防御だけでなく、検知・対応・復旧についても重視して準備することが重要です。インシデント(セキュリティ事故や事件)を検知できるのか、検知後に対応できるのか、想定時間通りに復旧できるかを意識し、社内のみならずセキュリティ専門企業など社外のリソースの活用、業界間や関係官庁や組織・団体等との連携も検討しておくべきです。

◆具体的な取り組みのヒント

宣言「3. 社内外体制の構築・対策の実施」に「サイバーセキュリティ対策のガイドライン・フレームワークの活用」と書かれている通り、企業の対策の手引きとなる情報が国内外さまざまあります。

「宣言 2.0」の次に読みたい資料として、経済産業省が「サイバーセキュリティ経営ガイドライン」があります(下記参考にリンク記載)。「宣言 2.0」でも触れている、方針策定、管理体制構築、リソース確保、緊急対応体制の整備などについて書かれていますので、具体的なセキュリティ対策の選定に役立ちます。

◆意思表明すべき内容を意識する

宣言「2. 経営方針の策定と意思表明」に「経営者が率先して社内外のステークホルダーに意思表明を行う」「取り組みを各種報告書に記載する」と書かれています。

企業が対策に取り組んでいることを、企業は社外に向けてどう情報開示すべきか、総務省の「サイバーセキュリティ対策情報開示の手引き」に具体的に書かれています(下記参考にリンク記載)。どの報告書に書くと良いか、どのような内容を記載すべきか示されていて参考になります。社外に情報開示すべき内容を意識して、セキュリティ対策を推進することも有効なアプローチだと考えられます。

「サイバーセキュリティへの配慮」した対策を進め、内容をオープンにすることが、企業価値を高めることにつながります。企業や組織において、この「宣言 2.0」などをヒントに経営者と従業員が一体となって検討してみてはいかがでしょうか。

ご参考:

経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
https://www.meti.go.jp/policy/netsecurity/mng_guide.html

総務省「サイバーセキュリティ対策情報開示の手引き」
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00032.html
(別紙2:情報開示の手段P.14、望まれる対策P.15、16)

NISC「目的や所属・役割から選ぶ施策一覧 経営層」
https://security-portal.nisc.go.jp/curriculum/classified/6office_exe.html

▲ このページの先頭へ