経団連「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見: まるちゃんの情報セキュリティ気まぐれ日記

September 2023
Sun	Mon	Tue	Wed	Thu	Fri	Sat
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30

2022.12.10

経団連「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

こんにちは、丸山満彦です。

経団連が、「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見を公表していますね。。。このガイドラインの策定のメンバーの一人ですが、、、貴重なご意見ありがとうございます！！！(^^)

・2022.12.06 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見

...「経団連サイバーセキュリティ経営宣言 2.0」（2022年10月11日改定）と軌を一にする内容であり、概ね賛同できる。そのうえで、下記4点について意見申し上げる。

1. グローバルな視点の追加

今次改定案では全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄ではないか。「経団連サイバーセキュリティ経営宣言 2.0」にも現状認識を示しているとおり、取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化にあたっては、グローバルな視点を盛り込むことが不可欠ではないか。

2. 多様な経営リスクにおける位置づけの敷衍

「経営者が認識すべき3原則」の一つとして、「・・・サイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、・・・」（6頁）と記載されているが、企業が実行に移すにあたっては、例えば以下のように、より具体的に踏み込んだ内容とする必要があるのではないか。

どのような経営リスクと同列に扱うべきか（例：為替変動、天変地異、エネルギー価格高騰　等）

どのような粒度で判断すべきか（例：IT系・OT系を峻別して考えるべきか、ランサムウェアとDDoS攻撃を同列で扱うべきか　等）

対策を推進する際に、経営者として何を判断すべきか（例：リソース配分の優先度　等）

ここまで踏み込んで記載したうえで、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるのではないか。

3. 「事業継続」に関する記述の追加

事業サイドと情報システム・セキュリティ担当者の間の日常のコミュニケーションが重要であるという認識を踏まえ、「経営者が認識すべき3原則」の（3）の記述（Ⅲ頁）を以下のとおり変更しては如何。

変更前：「・・・社内の関係者（CIO等セキュリティ担当者、事業担当責任者等）にサイバーセキュリティ対策に関する情報開示を行うことなどで・・・」

↓

変更後：「・・・社内の関係者（CIO等セキュリティ担当者、事業担当責任者等）にサイバーセキュリティ対策に関する情報開示や事業継続に関して定期的な検討を行うことなどで・・・」

4. 「サイバー保険」に関する記述の追加

指示４および指示９にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるのではないか。