経団連 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見
こんにちは、丸山満彦です。
経団連が、「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見を公表していますね。。。このガイドラインの策定のメンバーの一人ですが、、、貴重なご意見ありがとうございます!!!(^^)
・2022.12.06 「サイバーセキュリティ経営ガイドライン Ver3.0 (案) 」に対する意見
...「経団連サイバーセキュリティ経営宣言 2.0」(2022年10月11日改定)と軌を一にする内容であり、概ね賛同できる。そのうえで、下記4点について意見申し上げる。
1. グローバルな視点の追加
今次改定案では全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄ではないか。「経団連サイバーセキュリティ経営宣言 2.0」にも現状認識を示しているとおり、取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化にあたっては、グローバルな視点を盛り込むことが不可欠ではないか。
2. 多様な経営リスクにおける位置づけの敷衍
「経営者が認識すべき3原則」の一つとして、「・・・サイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、・・・」(6頁)と記載されているが、企業が実行に移すにあたっては、例えば以下のように、より具体的に踏み込んだ内容とする必要があるのではないか。
- どのような経営リスクと同列に扱うべきか(例:為替変動、天変地異、エネルギー価格高騰 等)
- どのような粒度で判断すべきか(例:IT系・OT系を峻別して考えるべきか、ランサムウェアとDDoS攻撃を同列で扱うべきか 等)
- 対策を推進する際に、経営者として何を判断すべきか(例:リソース配分の優先度 等)
ここまで踏み込んで記載したうえで、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるのではないか。
3. 「事業継続」に関する記述の追加
事業サイドと情報システム・セキュリティ担当者の間の日常のコミュニケーションが重要であるという認識を踏まえ、「経営者が認識すべき3原則」の(3)の記述(Ⅲ頁)を以下のとおり変更しては如何。
変更前:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示を行うことなどで・・・」
↓変更後:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示や事業継続に関して定期的な検討を行うことなどで・・・」
4. 「サイバー保険」に関する記述の追加
指示4および指示9にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるのではないか。
● まるちゃんの情報セキュリティきまぐれ日記
意見募集...
・2022.10.27 経済産業省 サイバーセキュリティ経営ガイドライン Ver3.0(案)に対する意見募集
経団連の公表物...
・2022.10.15 経団連サイバーセキュリティ経営宣言 2.0 (2022.10.11)
・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」
サイバーセキュリティ経営ガイドライン関連...
・2022.06.16 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)
・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)
・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)
・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書
・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。
・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集
・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版
« 世界経済フォーラム (WEF) 顔認識の責任ある制限のためのポリシーフレームワーク ユースケース:法執行機関の捜査 9つの原則 (2022.11) | Main | 英国 データ倫理・イノベーションセンター「業界温度チェック:AI保証の障壁と実現要因」 »
Comments