« NATO 量子技術戦略の概略 (2024.01.17) | Main | 米国 意見募集 FedRAMP 新技術優先順位付けフレームワーク - 概要 (2024.01.26) »

2024.02.05

英国 意見募集 サイバー・ガバナンス実践規範 (2024.01.23)

こんにちは、丸山満彦です。

英国が、サイバー・ガバナンス実践規範の意見募集をしています。。。サイバーリスクが経営に占める割合が大きくなってきているので、こういう議論がでてくるのでしょうね。。。

日本の経産省のサイバーセキュリティ経営ガイドライン との比較というのもしておいた方が良いかもですね。。。

 

 

GOV.UK

1_20240205122801

 

・2024.01.26 Business leaders urged to toughen up cyber attack protections

Business leaders urged to toughen up cyber attack protections ビジネスリーダーにサイバー攻撃防御の強化を促す
New guidelines to help directors and business leaders boost their resilience against cyber threats. 取締役やビジネスリーダーがサイバー脅威に対するレジリエンスを高めるための新ガイドラインが発表された。
・New guidelines will help directors and business leaders boost their cyber resilience, as UK government says cyber threats should be prioritised as a key business risk like financial and legal challenges ・新ガイドラインは、取締役やビジネスリーダーのレジリエンス強化を支援するもので、英国政府は、サイバー脅威を財務や法的課題と同様に重要なビジネスリスクとして優先させるべきとしている。
・The proposed Code sets out key actions for Directors to take to strengthen their cyber resilience and help them take full advantage of digital technologies which can fuel innovation and drive competitiveness ・提案されている行動規範は、取締役がサイバーレジリエンスを強化し、イノベーションを促進し競争力を高めるデジタル技術を最大限に活用するために取るべき主要な行動を定めている。
・UK government also acting to empower organisations to reduce risks associated with business software, protecting organisations, supply chains, staff, and customers ・英国政府もまた、組織がビジネス・ソフトウェアに関連するリスクを軽減し、組織、サプライ・チェーン、従業員、顧客を保護できるよう支援している。
A draft Code of Practice on cyber security governance published today will help directors and senior leaders shore up their defences from cyber threats, as the government launches a new call for views from business leaders.   本日発表されたサイバーセキュリティガバナンスに関する実践規範のドラフトは、政府がビジネスリーダーからの意見募集を開始する中、取締役やシニアリーダーがサイバー脅威からの防御を強化するのに役立つだろう。 
Aimed at executive and non-executive directors and other senior leaders, the measures look to establish cyber security issues as a key focus for businesses, putting them on an equal footing with other threats like financial and legal pitfalls. As part of this, the Code recommends that directors set out clear roles and responsibilities across their organisations, boosting protections for customers and safeguarding their ability to operate safely and securely.   取締役、非常勤取締役、その他のシニアリーダーを対象としたこの対策は、サイバーセキュリティ問題を企業にとって重要な焦点として確立し、財務や法的な落とし穴といった他の脅威と同等の立場に置くことを目的としている。その一環として、同規範は、取締役が組織全体で明確な役割と責任を定め、顧客の保護を強化し、安全でセキュアな事業運営能力を保護することを推奨している。 
A key focus of the Code, designed in partnership with industry directors, cyber and governance experts and the National Cyber Security Centre (NCSC), is making sure companies have detailed plans in place to respond to and recover from any potential cyber incidents. The plan should be regularly tested so it’s as robust as possible, with a formal system for reporting incidents also in place.   業界の取締役、サイバーとガバナンスの専門家、そして全米サイバーセキュリティセンター(NCSC)と協力して策定されたこのコードの主な焦点は、企業が潜在的なサイバーインシデントに対応し、そこから回復するための詳細な計画を策定していることを確認することである。計画は定期的にテストされ、可能な限り堅牢であるべきで、インシデントを報告するための正式なシステムも整備されていなければならない。 
Organisations are also encouraged to equip employees with adequate skills and awareness of cyber issues so they can work alongside new technologies in confidence. Today, the government is calling on businesses of all sizes from all sectors with an interest in cyber and governance issues to share their opinions on the draft Code, helping shape and deliver the future of improved cyber security in the UK.  組織はまた、従業員が安心して新しいテクノロジーと共に働けるよう、サイバー問題に関する十分なスキルと意識を身につけるよう奨励されている。政府は本日、サイバーやガバナンスの問題に関心を持つあらゆる分野のあらゆる規模の企業に対し、ドラフトコードに対する意見を共有し、英国におけるサイバーセキュリティ改善の未来を形成し、実現する一助とするよう呼びかけている。
Viscount Camrose, Minister for AI and Intellectual Property, said:  AI・知的財産担当大臣のカムローズ子爵は、次のように述べた: 
Cyber attacks are as damaging to organisations as financial and legal pitfalls, so it’s crucial that bosses and directors take a firm grip of their organisation’s cyber security regimes - protecting their customers, workforce, business operations and our wider economy.   サイバー攻撃は、財務的・法的な落とし穴と同様に組織にダメージを与えるものであるため、上司や取締役が組織のサイバーセキュリティ体制をしっかりと把握し、顧客、従業員、事業運営、そしてより広い経済を守ることが極めて重要である。 
This new Code will help them take the lead in safely navigating potential cyber threats, ensuring businesses across the country can take full advantage of the emerging technologies which are revolutionising how we work.   この新しい規範は、潜在的なサイバー脅威を率先して安全に回避し、全国の企業が、私たちの働き方に革命をもたらしつつある新たなテクノロジーを最大限に活用できるようにするものである。 
It is vital the people at the heart of this issue take the lead in shaping how we can improve cyber security in every part of our economy, which is why we want to see industry and business professionals from all walks coming forward to share their views.”  この問題の中心にいる人々が率先して、経済のあらゆる部分でサイバーセキュリティを改善する方法を形作ることが極めて重要である。
The benefits of the UK’s rapidly growing cyber landscape are sizeable, unlocking new opportunities and ways of working, and creating new jobs to grow every sector of the UK economy – a key priority for the government. This means the risks associated with growing an increasingly digital economy need to be addressed with practical action and robust safeguards. The introduction of the Cyber Governance Code of Practice marks a pivotal step in how the leaders and directors of all organisations approach cyber risk, underpinning the UK’s credentials as a cyber power and protecting our economy.   英国で急成長しているサイバー・ランドスケープがもたらす恩恵は大きく、新たなビジネスチャンスや働き方を生み出し、英国経済のあらゆる部門を成長させる新たな雇用を創出する。つまり、デジタル経済の拡大に伴うリスクには、実際的な行動と強固なセーフガードで対処する必要がある。サイバー・ガバナンス・コード・オブ・プラクティスの序文は、あらゆる組織のリーダーや取締役がサイバーリスクにどのように取り組むかについて、極めて重要な一歩を踏み出すものであり、サイバー大国としての英国の信用を支え、経済を保護するものである。 
The guidance comes as figures show almost one in three (32%) firms have suffered a cyber breach or attack in the past year, with a rise in damaging ransomware attacks and malicious actors posing significant threats as they look to take advantage of cyber security vulnerabilities.  このガイダンスは、ほぼ3社に1社(32%)の企業が過去1年間にサイバー侵害や攻撃を受けたという数字が示すように、サイバーセキュリティの脆弱性を利用しようとするランサムウェア攻撃や悪意ある行為者が増加し、重要な脅威となっている。
New statistics and analysis showing the positive impact of the government’s Cyber Essentials scheme, which helps organisations protect against common cyber attacks, are also published today. Through this scheme, organisations which demonstrate they have vital cyber security controls in place, including effective management of security updates, having suitable anti-virus software and removing default passwords, are awarded a “Cyber Essentials certificate”. 38,113 certificates have been awarded to organisations in the past year, and two in five (39%) of the UK’s largest businesses now hold the accolade.   一般的なサイバー攻撃から組織を保護する政府のサイバー・エッセンシャル・スキームの好影響を示す新たな統計と分析も本日発表された。このスキームを通じて、セキュリティ・アップデートの効果的な管理、適切なアンチウイルス・ソフトウェアの導入、デフォルト・パスワードの削除など、重要なサイバーセキュリティ対策を実施していることを証明した組織には、「サイバー・エッセンシャルズ証明書」が授与される。この1年間で38,113の組織に証明書が授与され、英国の大企業の5社に2社(39%)がこの栄誉を手にしている。 
New analysis of the Cyber Security Breaches Survey also shows that around two thirds (66%) of businesses which adhere to Cyber Essentials have a formal cyber incident response plan, compared to just 18% of those who don’t follow its guidance.   また、サイバーセキュリティ侵害調査の新たな分析によると、Cyber Essentialsを遵守している企業の約3分の2(66%)が正式なサイバーインシデント対応計画を策定しているのに対し、Cyber Essentialsのガイダンスに従っていない企業はわずか18%に過ぎない。 
Lindy Cameron, National Cyber Security Centre CEO, said:  ナショナル・サイバー・セキュリティ・センターのリンディ・キャメロン最高経営責任者(CEO)は、次のように述べている: 
Cyber security is no longer a niche subject or just the responsibility of the IT department, so it is vital that CEOs and directors understand the risks to their organisation and how to mitigate potential threats. サイバーセキュリティは、もはやニッチなテーマでもなければ、IT部門だけの責任でもない。したがって、CEOや取締役が組織にとってのリスクと潜在的脅威を軽減する方法を理解することが不可欠である。
This new Cyber Governance Code of Practice will help ensure cyber resilience is put at the top of the agenda for organisations and I’d encourage all directors, non-executive directors, and senior leaders to share their views. この新しいサイバー・ガバナンス実践規範は、サイバー・レジリエンスが組織の最優先課題であることを確実にする助けとなる。
Senior leaders can also access the NCSC’s Cyber Security Board Toolkit which provides practical guidance on how to implement the actions outlined in the Code, to ensure effective management of cyber risks. シニアリーダーは、NCSCのCyber Security Board Toolkitにアクセスすることもできる。このToolkitは、サイバーリスクの効果的なマネジメントを確実にするために、コードに概説されているアクションを実施する方法について実践的なガイダンスを提供している。
To further support organisations to improve their cyber security and provide more clarity on best practice, the government is also publishing its response to a call for views on software resilience and security today, to help address software risks and make organisations more resilient to cyber threats.  サイバーセキュリティを改善する組織をさらに支援し、ベストプラクティスをより明確にするため、政府は、ソフトウェアのリスクに対処し、サイバー脅威に対して組織をよりレジリエンシーにするための、ソフトウェアのレジリエンスとセキュリティに関する意見募集への回答も本日公表する。
A number of recent, high-profile cyber incidents, including one which took the NHS 111 service offline, have demonstrated the severe impacts attacks on software and digital supply chains can have. The response to the call for views proposes steps to empower those who develop, buy and sell software to better understand how they can reduce risk, prioritising the protection of businesses and other organisations that are reliant on software for their day-to-day operations.  Software is fundamental to virtually all technology used by businesses, from programmes for managing payroll, to essential operating systems and more advanced and emerging technologies such as AI. Protecting software is therefore crucial to protecting businesses and organisations and is a critical part of the government’s work to improve UK cyber resilience.  NHS111サービスをオフラインにした事件を含め、最近、多くの有名なサイバーインシデントが発生し、ソフトウェアやデジタルサプライチェーンへの攻撃が深刻な影響を与えることが明らかになった。意見募集への回答は、ソフトウェアを開発、購入、販売する人々が、どのようにリスクを低減できるかをよりよく理解できるようにするためのステップを提案するものであり、日々の業務をソフトウェアに依存している企業やその他の組織の保護を優先するものである。 ソフトウェアは、給与計算を管理するプログラムから、必要不可欠なオペレーティング・システム、AIなどのより高度で新興のテクノロジーに至るまで、企業が使用する事実上すべてのテクノロジーの基礎となっている。したがって、ソフトウェアを防御することは、企業や組織を保護する上で極めて重要であり、英国のサイバーレジリエンスを改善するための政府の取り組みの重要な部分である。
The plans include measures to ensure software is developed and maintained securely, with risks better managed and communicated throughout supply chains. The government is working with industry to develop these proposals further, from developing a code of practice for software vendors, which will form the crux of this proposed package, to cyber security training for professionals.   この計画には、ソフトウェアが安全に開発・保守され、サプライチェーン全体でリスクがより適切に管理・伝達されるようにするための対策が含まれている。政府は、このパッケージ案の核となるソフトウェア・ベンダー向けの実践規範の策定から、専門家向けのサイバーセキュリティ・トレーニングまで、これらの提案をさらに発展させるために産業界と協力している。 
The call for views, which will be open until 19 March 2024, will help ensure this new Code is straightforward to understand and roll out, and will also help to identify any potential barriers organisations could face in bringing it into force.  意見募集は2024年3月19日まで行われ、この新しい規範が理解しやすく、展開しやすいものであることを確認し、また、組織がこの規範を発効させる際に直面する可能性のある障壁を特定する助けとなる。
The work is part of the government’s £2.6 billion National Cyber Strategy to protect and promote the UK online. この作業は、英国のオンラインを保護し促進するための政府の26億ポンドの国家サイバー戦略の一環である。
Notes to editors 編集後記
Read more on the National Cyber Strategy. 国家サイバー戦略の詳細を読む。
Read the Call for Views on the Cyber Governance Code of Practice サイバー・ガバナンス実践規範に関する意見募集を読む。
Complete the survey as part of the call for views. 意見募集の一環としてアンケートに回答する。
Check out the Cyber Essentials statistics and the new analysis of Cyber Essentials from the Cyber Security Breaches Survey.  サイバーセキュリティ侵害調査によるサイバーエッセンシャルズの統計と新しい分析をチェックする。
The government’s response to the call for views on software security and resilience can be found here. ソフトウェア・セキュリティとレジリエンスに関する意見募集に対する政府の回答はこちらから。

 

・2024.01.23 Cyber Governance Code of Practice: call for views

目次...

Cyber Governance Code of Practice: call for views サイバー・ガバナンス実践規範:意見募集
Foreword: Viscount Camrose まえがき:カムローズ子爵
Introduction 序文
1. Governance in a technology age 1. テクノロジー時代のガバナンス
What is cyber governance and why is it important? サイバーガバナンスとは何か、なぜ重要なのか?
International approaches to cyber governance サイバーガバナンスに対する国際的アプローチ
2. Standards and guidance landscape 2. 標準とガイダンスの状況
3. Regulatory environment 3. 規制環境
Cyber security regulation サイバーセキュリティ規制
UK company law and Corporate Governance Framework 英国の会社法とコーポレート・ガバナンスの枠組み
4. Current UK cyber governance 4. 英国のサイバーガバナンスの現状
5. Proposed approach: Cyber Governance Code of Practice 5. 提案するアプローチ サイバーガバナンス実践規範
Purpose and scope of the call for views 意見募集の目的と範囲
Design 設計
Driving uptake 取り込みを促進する
Assurance 保証
Cyber Governance Code of Practice サイバーガバナンス行動規範
A: Risk management A: リスクマネジメント
B: Cyber strategy B: サイバー戦略
C: People C: 人
D: Incident planning and response D: インシデント計画と対応
E: Assurance and oversight E: 保証と監督

 

本文...

Cyber Governance Code of Practice: call for views サイバー・ガバナンス実践規範:意見募集
Foreword: Viscount Camrose まえがき:カムローズ子爵
The UK has a world leading reputation in cutting edge technologies which is underpinned by a pro-innovation approach to tech regulation. As the digital economy continues to grow at an exponential rate, so does society’s dependence and global interconnectivity. This presents benefits but also challenges. We know that malicious actors pose a significant threat, seeking to capitalise on opportunities that exploit cyber security vulnerabilities in digital systems, disrupting business continuity and causing economic harm.  英国は最先端技術において世界をリードする評価を得ており、それは技術規制に対するイノベーション促進アプローチに支えられている。デジタル経済が指数関数的な速度で成長し続けるにつれ、社会の依存度とグローバルな相互接続性も高まっている。これはメリットであると同時に課題でもある。我々は、悪意ある行為者が重要なサイバー脅威をもたらし、デジタルシステムのサイバーセキュリティの脆弱性を悪用する機会を利用しようとし、事業継続を中断させ、経済的損害をもたらすことを知っている。
The growing use of emerging technologies, such as artificial intelligence, across organisations has elevated the importance and necessity of directors’ taking action on how to govern their implementation, harnessing their power to capitalise on the advantages they provide, while appropriately managing and mitigating their risks. Governing digital and cyber security risk effectively is not only fundamental to building a secure and digital economy, it is integral to organisations’ business continuity and competitiveness. Boards and directors should therefore place the same importance on governing cyber risk as they do with other principal risks. 人工知能のような新興テクノロジーの利用が組織全体で拡大していることから、リスクを適切にマネジメントし軽減しながら、それらがもたらす利点を活用するためにその力を活用し、その導入をガバナンスする方法について取締役が行動を起こすことの重要性と必要性が高まっている。デジタルとサイバーセキュリティのリスクを効果的にガバナンスすることは、安全なデジタル経済を構築するための基本であるだけでなく、組織の事業継続性と競争力にとっても不可欠である。したがって、取締役会や取締役は、他の主要リスクと同様に、サイバーリスクのガバナンスを重視すべきである。
The UK is taking the lead in the technologies vital to being a cyber power, while strengthening resilience at a national and organisational level to prepare for, respond to and recover from cyber attacks. Which is why, backed by £2.6 billion pounds of investment, the government’s National Cyber Strategy sets out how we are building a prosperous and resilient digital UK which will contribute to driving up cyber resilience standards. 英国は、サイバー攻撃に備え、それに対応し、サイバー攻撃から回復するためのレジリエンスを国家レベルおよび組織レベルで強化する一方で、サイバー大国となるために不可欠なテクノロジーを率先して導入している。そのため、政府の国家サイバー戦略は、26億ポンドの投資を背景に、豊かでレジリエンスの高いデジタル英国をどのように構築し、サイバーレジリエンス標準の向上に貢献するかを定めている。
Organisations have a responsibility to take action to manage their own cyber risk but stronger frameworks of accountability and good governance are needed at board level to make this a priority. This requires boards and directors, of organisations of all sizes, to embrace, engage with and understand cyber security within their own organisations. It is in this context that the government sees business resilience and cyber security as intrinsically linked. By neglecting basic cyber security principles and not understanding cyber in the broader context of business resilience, many senior leaders are failing to take responsible action to mitigate threats to business operations.  組織には、自らのサイバー・リスクを管理するために行動を起こす責任があるが、これを優先するためには、取締役会レベルにおける説明責任と優れたガバナンスの枠組みを強化する必要がある。そのためには、あらゆる規模の組織の取締役会と取締役が、自らの組織内のサイバーセキュリティを受け入れ、関与し、理解する必要がある。このような背景から、政府はビジネスのレジリエンスとサイバーセキュリティは本質的に関連していると考えている。サイバーセキュリティの基本原則をおろそかにし、ビジネス・レジリエンスという広い文脈でサイバーセキュリティを理解しないことで、多くのシニアリーダーは、事業運営に対する脅威を軽減するための責任ある行動を取ることができていない。
I am therefore pleased to introduce this call for views on a Cyber Governance Code of Practice, which will support directors to drive greater cyber resilience. This code is the product of extensive engagement with organisations that manage and advise on business risk on a daily basis, and has been co-designed with industry leaders and technical experts at the National Cyber Security Centre. I would like to put on record my thanks and gratitude to those who have so generously given up their time over recent months to help develop the draft code which you now see before you.  そこで、私は、取締役がより大きなサイバー・レジリエンスを推進できるよう支援する「サイバー・ガバナンス実践規範」に関する意見募集を実施することを喜ばしく思う。この規範は、日常的にビジネスリスクを管理・助言している組織との広範な関わりから生まれたものであり、業界のリーダーやナショナル・サイバー・セキュリティ・センターの技術専門家との共同設計によるものである。ここ数ヶ月の間、惜しみなく時間を割いてドラフト作成に協力してくださった方々に、感謝の意を表したい。
The code focuses on the most critical areas that leaders must engage with, forming simple, actions-focused guidance, making it easier for directors to understand what actions to take. This is an integral step in supporting boards and senior leaders to take better accountability for their cyber risk.  この規範は、リーダーが取り組まなければならない最も重要な分野に焦点を当て、シンプルで行動に焦点を絞ったガイダンスを形成し、取締役が取るべき行動を理解しやすくしている。これは、取締役会とシニア・リーダーがサイバー・リスクに対してより良い説明責任を果たすことを支援する上で不可欠なステップである。
Your engagement with the questions in this call for views will help the Government develop plans to build a safer and more prosperous UK. I encourage all organisations with an interest in corporate governance, cyber risk management, board engagement and cyber resilience to take part. We welcome views from all sectors and business sizes. From academics, organisations without formalised boards, to organisations who procure or outsource cyber security, and other interested parties.  この意見募集の質問に対する皆さんの関与は、政府がより安全でより豊かな英国を構築するための計画を策定するのに役立つだろう。コーポレート・ガバナンス、サイバー・リスクマネジメント、取締役会のエンゲージメント、サイバー・レジリエンスに関心のあるすべての組織に参加していただきたい。私たちは、あらゆるセクターや企業規模からの意見を歓迎する。学識経験者、正式な取締役会を持たない組織、サイバーセキュリティを調達またはアウトソーシングしている組織、その他の関係者に至るまでである。
I look forward to continuing discussions on how the government and industry should prioritise efforts to bolster the UK economy’s cyber resilience. I thank you in advance for your contribution to this vital aspect of our national security. 英国経済のレジリエンスを強化するために、政府と産業界がどのように優先順位をつけて取り組むべきか、引き続き議論していきたい。国家安全保障の重要な側面であるサイバーセキュリティへの貢献に感謝する。
Introduction 序文
The vast majority of organisations in the UK rely on digital technologies to create and conduct business operations. As the digital economy grows, so too do cyber security risks, which are a principal risk to many companies. Greater digital operations provide opportunities for malicious actors to exploit vulnerabilities in IT systems and disrupt business continuity. Organisations are now more than ever before at risk of being disrupted and suffering both malicious and accidental material incidents. 英国では、大半の組織がデジタル技術に依存して事業を創出・遂行している。デジタル経済が成長するにつれ、多くの企業にとって主要なリスクであるサイバーセキュリティのリスクも増大している。デジタル業務の拡大は、悪意ある行為者がITシステムの脆弱性を悪用し、事業継続を妨害する機会を提供する。組織は今、悪意あるインシデントと偶発的なインシデントの両方において、これまで以上に混乱や被害を受けるリスクにさらされている。
This relatively new risk environment is dynamic and more fast-moving than traditional business risks. Cyber security risk faces a multiplier effect of (i) the pace at which businesses are digitising and transforming operations, (ii) the increasing interconnectedness of digital supply chains, (iii) an evolving threat landscape where state and non-state actors seek to exploit new vulnerabilities created by increased digitisation and connectedness. This is further complicated by a rapidly evolving set of regulatory frameworks domestically and internationally.  この比較的新しいリスク環境はダイナミックで、従来のビジネスリスクよりも動きが速い。サイバーセキュリティリスクは、(i) 事業のデジタル化と変革のペース、(ii) デジタルサプライチェーンの相互接続性の増大、(iii) デジタル化と相互接続性の増大によって生まれた新たな脆弱性を国家や非国家行為者が悪用しようとする脅威状況の進化、といった乗数効果に直面している。これは、国内外で急速に進化する規制の枠組みによってさらに複雑になっている。
Cyber incidents can have severe impacts on organisations of all sizes, both in the short and longer term, from causing business interruption and reputational damage, to being paralysed by ransomware and unable to recover financially. As explained by David Raissipour Forbes 2023 ‘cyber risk is no longer just an IT problem, it is a critical vulnerability that directly influences the health of the collective enterprise.’ サイバーインシデントは、短期的にも長期的にも、あらゆる規模の組織に深刻な影響を与える可能性があり、事業の中断や風評被害を引き起こしたり、ランサムウェアによって機能麻痺に陥ったり、経済的に回復できなくなったりすることもある。David Raissipour Forbes 2023が説明するように、「サイバーリスクはもはや単なるITの問題ではなく、エンタープライズ全体の健全性に直接影響する重大な脆弱性である」。
Given its impact and materiality to business continuity and competitiveness, cyber risk should have the same prominence as financial or legal risks. In today’s increasingly digitally dependent economy and society, directors should entwine cyber risk management with existing business resilience and risk management practices. This requires boards and directors, of organisations of all sizes, to embrace and engage with cyber security and understand the risk that cyber incidents present to delivery of the business strategy. It is in this context that the government sees business resilience and cyber security as intrinsically linked. 事業継続性や競争力への影響や重要性を考えると、サイバーリスクは財務リスクや法務リスクと同じように重要視されるべきである。デジタル依存度が高まる今日の経済・社会では、取締役はサイバーリスクマネジメントを既存の事業レジリエンスやリスクマネジメントの実践に組み込むべきである。そのためには、あらゆる規模の組織の取締役会および取締役がサイバーセキュリティを受け入れ、それに関与し、サイバーインシデントが事業戦略の遂行にもたらすリスクを理解する必要がある。このような背景から、政府は、ビジネス・レジリエンスとサイバーセキュリティは本質的に関連していると考えている。
1. Governance in a technology age 1. テクノロジー時代のガバナンス
Digital technologies now underpin business resilience and cut across so many organisational and strategic areas of the business, from strategy definition and capability building to partner selection or business integration. Executive and non-executive directors therefore need to take greater action to provide stronger governance on technology strategies. Clear leadership, and becoming skilled at governing technology, both capitalising on its opportunity as well as managing risks associated with its adoption and use, is fundamental to doing business today. Management and leaders therefore need to ensure that there is a coherent and practicable strategy which weighs up various interdependencies between competition and risks of security, safety, ethics and reputation.  デジタル技術は、今やビジネス・レジリエンスを下支えし、戦略定義や能力構築からパートナー選 定や事業統合に至るまで、事業の多くの組織的・戦略的分野にまたがっている。したがって、執行役員および社外取締役は、テクノロジー戦略に関するガバナンスを強化するために、より大きな行動を起こす必要がある。明確なリーダーシップを発揮し、テクノロジーのガバナンスに習熟することで、その機会を活かすと同時に、その導入と使用に伴うリスクを管理することは、今日のビジネスを行う上での基本である。したがって、マネジメントとリーダーは、競争とセキュリティ、安全性、倫理、レピュテーションのリスクとの間の様々な相互依存関係を秤にかけて、首尾一貫した実践可能な戦略を確保する必要がある。
Whether governing of technology issues is done via regular engagement as a recurring agenda item or informal engagement on selected topics, it is critical that executive and non-executive directors develop their understanding and prioritise technology decisions whilst appropriately considering the risks to their business strategy.  テクノロジー問題のガバナンスが、定期的なアジェンダ・アイテムとしてのエンゲージメントを通じて行われるにせよ、選択されたトピックに関する非公式なエンゲージメントを通じて行われるにせよ、経営陣と社外取締役が理解を深め、ビジネス戦略に対するリスクを適切に考慮しながら、テクノロジーに関する意思決定に優先順位をつけることが極めて重要である。
Cyber governance and ensuring the organisation’s resilience to cyber security risk is one part of this broader environment of technology governance. サイバーガバナンスとサイバーセキュリティリスクに対する組織のレジリエンスの確保は、このようなテクノロジーガバナンスの広範な環境の一部である。
What is cyber governance and why is it important? サイバーガバナンスとは何か、なぜ重要なのか?
Cyber governance focuses on a top-down approach to managing and mitigating risks associated with security concerns of the organisation’s use of digital technologies. Better governance of cyber security risk is critical to improving the cyber resilience of organisations and better protecting the UK economy and society. Our evidence suggests that a focus on improving the governance of cyber security within an organisation often leads to the fastest improvements in overall cyber resilience (Cyber security incentives and regulation review 2022. Improving cyber resilience forms part of one of the objectives of the National Cyber Strategy, which sets out the government’s commitment to strengthening resilience at national and organisational level to prepare for, respond to and recover from cyber attacks. This approach to cyber resilience is absolutely critical in order to ensure サイバーガバナンスは、組織がデジタル技術を使用する際のセキュリティ上の懸念に関連するリスクを管理し、低減するためのトップダウンのアプローチに焦点を当てている。サイバーセキュリティリスクのガバナンスを改善することは、組織のサイバーレジリエンスを改善し、英国経済と社会をより良く守るために不可欠である。政府によるエビデンスによると、組織内のサイバーセキュリティのガバナンスの改善に焦点を当てることが、サイバーレジリエンス全体の最も早い改善につながることが多い(Cyber security incentives and regulation review 2022)。サイバーレジリエンスの改善は、国家サイバー戦略の目的の一つを成しており、サイバー攻撃に備え、それに対応し、サイバー攻撃から回復するために、国家レベルおよび組織レベルでレジリエンスを強化するという政府のコミットメントを示している。サイバーレジリエンスに対するこのアプローチは、以下を確実にするために絶対に欠かせない: 
1. Cyber resilience is embedded within company strategy and integrated across all relevant business processes, not just the IT or technology domains; and 1. サイバーレジリエンスが企業戦略の中に組み込まれ、ITやテクノロジーの領域だけでなく、関連するすべてのビジネスプロセスに統合されている。
2. Responsibilities for the management of cyber resilience are clear and are embedded across all relevant domains to ensure they are not siloed.  2. サイバーレジリエンスの管理責任が明確化され、関連するすべての領域にわたって組み込まれ、サイロ化されないようにする。
To govern cyber risk effectively, organisations need to implement a top-down approach. This requires the most senior leaders of an organisation, whether that is the directors, board or equivalent, to take ownership of cyber risk, understand the threats that the organisation faces and assess what action is being taken to manage them.  サイバーリスクを効果的にガバナンスするためには、組織はトップダウンアプローチを実施する必要がある。そのためには、組織の最上位のリーダー(取締役、取締役会、またはそれに準ずるもの)がサイバーリスクのオーナーシップを持ち、組織が直面している脅威を理解し、それらを管理するためにどのような行動が取られているかを評価する必要がある。
International approaches to cyber governance サイバーガバナンスに対する国際的アプローチ
Globally, a number of other countries are prioritising cyber governance and are driving greater engagement and action from directors, including the US through its SEC rules, which require boards to have oversight of risks from cyber security threats. Recently, industry associations, including the US National Association of Corporate Directors and the Australian Institute of Company Directors, have published key principles to support directors in meeting the requirements of their national regulatory frameworks. This demonstrates the growing expectations of directors in grappling with this new form of risk governance. The US National Institute of Standards and Technology has recently launched the first draft of its Cybersecurity Framework 2.0 with the most notable addition being a sixth pillar focusing exclusively on governance. The recent activity around cyber governance demonstrates a collective refocusing on this process, particularly around individuals’ roles and responsibilities in an organisation’s cyber risk management posture. 世界的には、多くの国がサイバーガバナンスを優先し、取締役会の関与と行動を促進している。米国はSEC規則を通じて、取締役会にサイバーセキュリティ脅威によるリスクの監督を義務付けている。最近では、米国の全米取締役協会やオーストラリアの会社取締役協会などの業界機構が、各国の規制枠組みの要件を満たす取締役を支援するための主要原則を発表している。これは、この新しい形のリスクガバナンスに取り組む取締役への期待が高まっていることを示している。米国国立標準技術研究所は最近、サイバーセキュリティ・フレームワーク2.0の最初のドラフトを発表したが、その中で最も注目すべきは、ガバナンスに特化した第6の柱が追加されたことである。サイバーガバナンスをめぐる最近の動きは、このプロセス、特に組織のサイバーリスクマネジメント態勢における個人の役割と責任をめぐる集団的な再集中を示している。
2. Standards and guidance landscape 2. 標準とガイダンスの状況
There are a number of government and industry-led resources that already exist to help support business leaders. In 2019, the National Cyber Security Centre published the Cyber Security Toolkit for Boards and earlier this year issued a revised version ensuring it remains relevant to the current cyber security landscape. The Toolkit is designed to improve board members’ and senior leaders’ confidence in discussing cyber security with their key stakeholders across the business and help them make informed decisions about cyber risks and cyber security within their organisation. Despite this, the Cyber Security Breaches Survey 2023 found that board engagement has continued to decline among businesses since 2021. Findings from the Cyber Security Incentives and Regulation Review Call for Evidence 2020 demonstrate that there remains demand for further support from the Government to clearly set out what good looks like for governing cyber risk. ビジネスリーダーを支援するために、政府や業界主導のリソースが既に数多く存在している。2019年、National Cyber Security Centreは「Cyber Security Toolkit for Boards(取締役会のためのサイバーセキュリティ・ツールキット)」を発表し、今年初めには、現在のサイバーセキュリティの状況に対応した改訂版を発表した。このツールキットは、取締役会メンバーやシニアリーダーが事業全体の主要な利害関係者とサイバーセキュリティについて議論する際の自信を改善し、組織内のサイバーリスクやサイバーセキュリティについて十分な情報に基づいた意思決定を行うのに役立つように設計されている。このような状況にもかかわらず、サイバーセキュリティ侵害調査2023によると、2021年以降、取締役会の関与は企業間で低下し続けている。サイバーセキュリティのインセンティブと規制のレビューの証拠募集2020からの調査結果は、サイバーリスクを管理するために何が良いかを明確に示すための政府からのさらなる支援の需要が残っていることを示している。
The National Cyber Security Centre’s Cyber Assessment Framework furthermore articulates outcomes expected of regulated companies and including areas of governance such as board direction and assurance.  ナショナル・サイバー・セキュリティ・センターのサイバー・アセスメント・フレームワークはさらに、規制対象企業に期待される成果を明確にしており、取締役会の指示や保証といったガバナンスの分野も含まれている。
Across industry, there are a number of best practice standards, particularly in IT operations, security operations and enterprise risk management, but less so when it comes to governance and providing directors or boards with direction. When looking across the breadth of standards and guidance, it is clear that the majority do not specifically target directors and therefore do not use language that they are familiar with. In addition, the majority are also predominantly outcomes focused which can be difficult to interpret and implement without a reasonable understanding of cyber security. 業界全体では、特にITオペレーション、セキュリティオペレーション、エンタープライズリスクマネジメントにおいて、多くのベストプラクティス標準が存在するが、ガバナンスや取締役会に対する方向性の提供に関しては、それほど多くはない。広範な標準やガイダンスを見渡すと、その大半が特に取締役を対象としておらず、したがって取締役が慣れ親しんでいる言葉を使っていないことは明らかである。加えて、大半は主に成果に焦点を当てたものであり、サイバーセキュリティに関する相応の理解がなければ、その解釈や実施が困難な場合がある。
As demonstrated above, collectively, the current standards and guidance landscape has not led to sufficient action being taken by directors on foundational cyber governance issues to keep pace with this changing risk environment.  以上のように、現在の標準とガイダンスの状況を総合すると、変化するリスク環境に対応するために、取締役がサイバーガバナンスの基礎的な問題について十分な行動をとるには至っていない。
3. Regulatory environment 3. 規制環境
Cyber security regulation サイバーセキュリティ規制
The government has sought to put in place a regulatory framework for cyber security, including data security, that is balanced and sufficiently flexible, so that organisations ensure they protect themselves, their suppliers and partners, and their customers from the harms associated with cyber security risks. The regulations that the government has introduced, such as the Network and Information Systems Regulations, and the UK General Data Protection Regulation (GDPR), complemented by sector specific regulations, set out the requirements and supporting guidance to explain the measures that organisations are expected to implement.  政府は、組織がサイバーセキュリティリスクに関連する被害から自社、サプライヤーやパートナー、顧客を確実に保護できるように、データセキュリティを含むサイバーセキュリティに関する規制の枠組みを、バランスの取れた、十分に柔軟性のあるものにしようと努めてきた。ネットワークと情報システム規則や英国一般データ保護規則(GDPR)などの政府が導入した規制は、セクター固有の規制によって補完され、組織が実施することが期待される対策を説明するための要件と支援ガイダンスを定めている。
The Cyber Assessment Framework was developed as a tool to support effective cyber regulation. As mentioned above, this defines wide ranging outcomes to achieve effective cyber governance, relevant to regulatory requirements under the Network and Information Systems Regulations. サイバーアセスメントフレームワークは、効果的なサイバー規制を支援するツールとして開発された。前述したように、これは効果的なサイバーガバナンスを達成するための幅広い成果を定義しており、ネットワークと情報システム規則の規制要件に関連している。
Beyond cyber regulation, the UK GDPR is a whole-of-economy driver of effective data security. Article 5(1)(f) and Article 32 set out that personal data shall be processed in a manner which ensures appropriate security using appropriate technical and organisational measures. The Information Commissioner’s Office (ICO) has explained in guidance that organisational measures equate to key governance actions including, but not limited to, conducting risk assessments, clear and coordinated accountabilities and responsibilities, and developing a culture of security awareness. Despite this, some directors are not taking responsibility for ensuring that these actions are done. In October 2022, the ICO issued a fine of £4.4 million against Interserve, a Berkshire based construction company, for failing to keep personal information of its staff secure by not putting in place appropriate technical and organisational measures as required by Article 5(1)(f) and Article 32. サイバー規制を超えて、英国のGDPRは効果的なデータセキュリティの経済全体の推進力である。第5条1項(f)と第32条は、個人データは適切な技術的・組織的手段を用いて適切なセキュリティを確保する方法で処理されなければならないと定めている。政府アカウンタビリティ室(ICO)はガイダンスの中で、組織的対策とは、リスクアセスメントの実施、明確かつ協調的な説明責任と責任、セキュリティ意識の文化の醸成を含むがこれらに限定されない主要なガバナンス行動に相当すると説明している。にもかかわらず、一部の取締役はこれらの行動を確実に実行する責任を負っていない。2022年10月、ICOはバークシャーを拠点とする建設会社インターサーブに対し、第5条1項(f)および第32条が要求する適切な技術的・組織的対策を講じず、従業員の個人情報を安全に保管しなかったとして、440万ポンドの罰金を科した。
UK company law and Corporate Governance Framework 英国の会社法とコーポレート・ガバナンスの枠組み
UK businesses are also subject to broader statutory and other regulatory requirements covering risk management, such as contained in the Companies Act 2006, and for premium listed companies, the UK Corporate Governance Code, which should influence the way organisations manage their cyber risk. The Companies Act 2006 currently requires all large companies to provide an annual “description of the principal risks and uncertainties facing the company.” While useful, this existing requirement does not require information on how such risks and uncertainties are being addressed and mitigated, their likelihood and potential impact, the time period over which they are expected to last, and companies’ underpinning governance processes for risk management and developing business resilience.  英国企業は、2006年会社法、およびプレミアム上場企業のための英国コーポレートガバナンス・コードに含まれるような、リスクマネジメントをカバーする広範な法定およびその他の規制要件にも従っている。2006年会社法は現在、すべての大企業に対し、「会社が直面する主要なリスクと不確実性の説明」を毎年提供することを義務付けている。この既存の要件は有用ではあるが、そうしたリスクや不確実性がどのように対処され、低減されているか、その可能性と潜在的な影響、それらが継続すると予想される期間、リスクマネジメントと事業レジリエンス開発のための企業の裏付けとなるガバナンス・プロセスに関する情報を求めてはいない。
The Corporate Governance Code sets best practice in relation to governance and is supported by guidance including Risk Management, Internal Control and Related Financial and Business Reporting. This guidance articulates the duty of the board in risk management. Directors must both design and implement appropriate risk management and internal controls systems that identify the risks facing the company and enable the board to make a robust assessment of the principal risks. We now live in a digital world where for most organisations cyber security is either a principal risk, or is relevant to an organisation’s management of principal risks, given that having access to digital systems is crucial to creating value and maintaining business continuity. To enhance the Corporate Governance Code’s effectiveness promoting good corporate governance in the context of business today, the Financial Reporting Council (FRC) has recently run a consultation which proposes that the board make a declaration that the company’s risk management and internal controls systems have been effective throughout the reporting period. This consultation ended in September 2023 and it is expected that both the Corporate Governance Code and associated Guidance will be updated following feedback received, and we will work to ensure consistency with our Code of Practice. コーポレート・ガバナンス・コードは、ガバナンスに関するベスト・プラクティスを定めており、リスクマネジメント、内部統制、関連する財務・事業報告などのガイダンスによってサポートされている。このガイダンスは、リスクマネジメントにおける取締役会の義務を明確にしている。取締役は、会社が直面するリスクを特定し、取締役会が主要なリスクについて確固としたアセスメントを行うことを可能にする適切なリスクマネジメントおよび内部統制システムを設計し、実施しなければならない。私たちは今、デジタルの世界に生きており、ほとんどの組織にとってサイバーセキュリティは主要なリスクであるか、あるいは主要なリスクのマネジメントに関連するものである。コーポレートガバナンス・コードが、今日のビジネス状況において優れたコーポレートガバナンスを促進する効果を高めるため、財務報告評議会(FRC)は最近、報告期間を通じて会社のリスクマネジメントと内部統制システムが有効であったことを取締役会が宣言することを提案するコンサルテーションを実施した。このコンサルテーションは2023年9月に終了したが、コーポレートガバナンス・コードと関連ガイダンスは、寄せられたフィードバックを受けて更新される見込みであり、当行は当行規範との整合性を確保するよう努める。
4. Current UK cyber governance 4. 英国のサイバーガバナンスの現状
The Cyber Security Breaches Survey 2023 found that while cyber security is seen as a high priority by senior management at 71% of businesses and 62% of charities, this has not translated into action or greater ownership of cyber risk at the most senior level. In addition, only three in ten businesses (30%) and charities (31%) have board members or trustees explicitly responsible for cyber security as part of their job role. Qualitative insights from the same survey show a similar set of issues to previous years that prevent boards from engaging more in cyber security, including a lack of knowledge, training and time. サイバーセキュリティ侵害に関する調査2023」によると、企業の71%、慈善団体の62%において、上級マネジメントがサイバーセキュリティを優先度の高い課題として捉えているものの、上級レベルにおけるサイバーリスクに対する行動やオーナーシップの向上にはつながっていないことがわかった。さらに、役員や評議員が職務の一部としてサイバーセキュリティを明確に担当しているのは、企業では10社に3社(30%)、慈善団体では31%にとどまっている。同じ調査から得られた定性的な洞察によると、取締役会のサイバーセキュリティへの関与を妨げているのは、知識、トレーニング、時間の不足など、例年と同様の問題である。
One example of insufficient director involvement is demonstrated in less than half (47%) of medium organisations and only 64% of large organisations having a formal incident response plan in place (Cyber Security Breaches Survey 2023). Given the criticality in responding to incidents quickly, directors should be ensuring that their organisation has an incident response plan that is tested at least annually, so that when it is needed it can be put into action at pace. 取締役の関与が不十分な一例として、正式なインシデント対応計画を策定しているのは、中規模組織では半数以下(47%)、大規模組織では64%に過ぎないことが示されている(Cyber Security Breaches Survey 2023)。インシデントに迅速に対応することが極めて重要であることを考えると、取締役は、少なくとも年1回テストされるインシデント対応計画を組織に確実に持たせ、必要なときに迅速に実行に移せるようにすべきである。
A second critical aspect of cyber governance lies with who is involved across the organisation. A Marsh global survey of more than 1,300 executives examined cyber risk and management strategies and found that 70% of respondents named the IT department as a primary owner and decision-maker for cyber risk management, compared to 37% who cited the C-suite and 32% their risk management team. A bottom-up approach where the CISO or equivalent is left responsible for governing cyber risk as an enterprise wide risk is not conducive to developing business resilience. It is the responsibility of directors to ensure that the company’s technology stack and associated risks are interwoven with the organisation’s mission, strategy and objectives. This requires directors to have regular two way dialogue with the CISO or key risk owner(s), as well as convening and engaging with others across the organisation who are also responsible for managing and considering cyber risks, for example, the HR or Strategy director. Governing cyber risk in this way allows organisations to take full advantage of digital technologies which fuels innovation and drives their competitiveness サイバーガバナンスの第二の重要な側面は、組織全体で誰が関与するかにある。1,300人以上の経営幹部を対象としたMarshのグローバル調査では、サイバーリスクとマネジメント戦略を調査し、回答者の70%がサイバーリスクマネジメントの主要なオーナーおよび意思決定者としてIT部門を挙げたのに対し、C-suiteを挙げたのは37%、リスクマネジメントチームを挙げたのは32%であった。サイバーリスクをエンタープライズ全体のリスクとしてガバナンスする責任を CISO またはそれに準ずる者に負わせるようなボトムアップのアプローチは、ビジネスのレジリエンスを発展させることにはつながらない。会社のテクノロジー・スタックと関連リスクが、組織のミッション、戦略、目標に織り込まれていることを確認するのは、取締役の責任である。そのためには、取締役がCISOや主要なリスクオーナーと定期的に双方向の対話を行うだけでなく、サイバーリスクのマネジメントや検討に責任を持つ組織内の他の人物(例えば、HRやリスクマネジメント戦略担当取締役など)を招集し、関与する必要がある。このようにサイバーリスクをガバナンスすることで、組織はイノベーションを促進し、競争力を高めるデジタル技術を最大限に活用することができる。
5. Proposed approach: Cyber Governance Code of Practice 5. 提案するアプローチ サイバーガバナンス実践規範
Despite the existing regulatory requirements and supporting guidance and tools, organisations that responded to the Cyber Security Incentives and Regulation Review Call for Evidence 2020 said that they find the cyber landscape complex and challenging to navigate, with 83% of those surveyed stating that there is a need for additional solutions to illustrate ‘what good looks like’. This view has been strongly supported in the engagement the government has had on governing cyber risk over the past twelve months with a range of organisations, including auditors and industry bodies. 既存の規制要件やそれを支援するガイダンスやツールがあるにもかかわらず、「サイバーセキュリティのインセンティブと規制のレビュー」(Cyber Security Incentives and Regulation Review Call for Evidence 2020)に回答した組織は、サイバー情勢が複雑で難しいと感じていると回答しており、調査対象者の83%が「良いとはどのようなものか」を示す追加のソリューションが必要であると述べている。この見解は、政府が過去1年間に監査法人や業界団体を含む様々な組織と行ったサイバーリスクのガバナンスに関する取り組みでも強く支持されている。
This helps demonstrate that whilst resources on how to govern cyber risk more effectively do exist, they can be hard to find and engage with. In addition, the majority of existing resources are predominantly outcomes focused which can be difficult for directors to engage with when having limited time and limited understanding of cyber risk.  このことは、サイバーリスクをより効果的に管理する方法に関するリソースは存在するものの、それらを見つけたり利用したりするのは難しいということを示すのに役立っている。加えて、既存のリソースの大半は、主に成果に焦点を当てたものであり、限られた時間とサイバーリスクに対する限られた理解しか持たない取締役にとっては取り組みにくいものである。
While there is no one size fits all approach to governing business risks such as cyber risk, there are some common fundamental actions that all directors and their organisations should take. A cyber governance Code of Practice, as proposed here, would bring together the critical governance areas that directors need to take ownership of in one place, in a form that is simple to engage with, for organisations of all sizes. サイバーリスクのようなビジネスリスクをガバナンスするための万能なアプローチは存在しないが、すべての取締役とその組織が取るべき共通の基本的な行動はいくつかある。ここで提案するサイバーガバナンス実践規範は、あらゆる規模の組織にとって、取締役がオーナーシップを持つべき重要なガバナンス領域を、取り組みやすい形で一箇所にまとめるものである。
A cyber governance Code of Practice would formalise government’s expectations of directors for governing cyber risk as they would with any other material or principal business risk. サイバーガバナンス実施規範は、政府が取締役に期待するサイバーリスクのガバナンスを、他の重要リスクや主要なビジネスリスクと同様に正式に規定するものである。
Purpose and scope of the call for views 意見募集の目的と範囲
The scope of the call for views is focused around three particular issues:  意見募集の範囲は、以下の3つの特定の問題に焦点を当てている: 
the design of the cyber governance Code of Practice;  サイバーガバナンスの実践規範のデザイン 
how the government can drive uptake of its use and compliance with the code; and  政府はどのようにサイバー・ガバナンス・コードの利用を促進し、その遵守を促すことができるか。
the merits and demand for an assurance process against the Code. 規範に対する保証プロセスのメリットと需要。
Design 設計
A draft Code of Practice has been co-designed with a range of governance experts including but not limited to, non-executive directors, auditors, consultants, CISOs and academics. It is presented (in Annex A) in the form of five overarching principles with relevant actions underneath each principle. The actions are framed in language that directors use, rather than being technical, and they go beyond being outcomes focused to provide a clearer expectation of directors. This will make it easier for directors in organisations of all sizes to understand which actions they should be taking, and why, so that they can better govern cyber risk.  実践規範のドラフトは、非業務執行取締役、監査役、コンサルタント、CISO、学識経験者等、様々なガバナンスの専門家と共同で策定された。この規範は、5つの包括的な原則と、各原則の下に関連する行動という形で示されている(附属書A)。アクションは、技術的なものではなく、取締役が使用する言葉で組み立てられており、取締役に期待することを明確にするために、成果に焦点を当てたものにとどまらない。これにより、あらゆる規模の組織の取締役が、どのような行動をとるべきか、なぜとるべきかを理解しやすくなり、サイバーリスクをより適切にガバナンスできるようになる。
The principles and actions of the Code have been drawn from best practice [footnote 1] and is intended to align with and complement existing industry and government resources, both in the UK and internationally. In particular, further guidance on implementation of these principles and actions, is provided within the NCSC’s Cyber Security Toolkit for Boards and the two will work together to form a coherent set of guidance for boards, directors and their senior advisors 行動規範の原則と行動は、ベストプラクティス[脚注1]から導き出されたものであり、英国内外の既存の業界や政府のリソースと整合し、それを補完することを意図している。特に、これらの原則と行動の実施に関するさらなるガイダンスは、NCSCの「取締役会のためのサイバーセキュリティ・ツールキット」(Cyber Security Toolkit for Boards)の中で提供されており、両者は連携して、取締役会、取締役、上級顧問向けの首尾一貫したガイダンスを形成する。
Through this call for views, we want to test the design of the Code of Practice to determine whether the actions that directors should be taking to govern cyber risk are presented and explained in a way that is straightforward to understand and implement.  今回の意見募集を通じて、サイバーリスクを管理するために取締役が取るべき行動が、理解しやすく、実行しやすい形で示され、説明されているかどうかを判断するため、実践規範のデザインを検証したい。
We also want to better understand what further guidance would help industry in order to be able to implement the code effectively. For example, the Australian Institute of Company Directors’ Cyber Security Governance Principles makes use of a number of additional guidance pieces to form a suite of support to assist organisations of all sizes. These include a ‘checklist’ for small and medium sized organisations and ‘red flags’ to help assist where an organisation might be erring また、この行動規範を効果的に実施するために、産業界にとってどのようなガイダンスがあれば助かるかについても理解を深めたい。例えば、Australian Institute of Company DirectorsのCyber Security Governance Principlesは、あらゆる規模の機構を支援するための一連のサポートとして、多くの追加ガイダンスを活用している。これには、中小規模の組織向けの「チェックリスト」や、組織が誤りを犯す可能性のある箇所を支援する「レッドフラッグ」などが含まれる。
Driving uptake 取り込みを促進する
The proposed Code of Practice would be launched as a voluntary tool, that is, without its own statutory footing. However, the Code of Practice would support and align with a number of existing regulatory obligations. Whilst not sufficient on its own at driving the required improvements in cyber risk management at Board level, the government is exploring the Code’s use in supporting regulators to understand how it can be used to assist with regulatory compliance, including with the General Data Protection Regulation (GDPR) and the Network and Information Systems (NIS) regulations. The government will be working closely with these regulators and competent authorities, as well as broader sectoral regulators, to embed the Code in the existing regulatory landscape as and where it relates to cyber security and broader resilience.  提案されている実践規範は、自主的なツールとして、つまり法的な根拠を持たずに開始される。しかし、この行動規範は、既存の多くの規制義務を支援し、それと整合させるものである。取締役会レベルでのサイバーリスクマネジメントの改善を推進するには、これだけでは不十分であるが、政府は、一般データ保護規則(GDPR)やネットワークと情報システム(NIS)規制など、規制当局のコンプライアンス遵守を支援するために当規範をどのように利用できるかを理解するために、規制当局を支援する上での当規範の利用を検討している。政府は、これらの規制当局や所轄当局、さらにはより広範なセクターの規制当局と緊密に協力し、サイバーセキュリティや広範なレジリエンスに関連する既存の規制の状況にこのガバナンスを組み込む予定である。
However, as cyber risk now comprises a material risk to any business with a digital footprint, whether directly regulated or not, all organisations should adopt the Cyber Governance Code of Practice. To that end, the promotion of the Code, whether it is published through a governance or a cyber security agency, and the broader interventions outlined here to stimulate uptake, are all critical aspects of embedding it in common practice across the UK economy.  しかし、サイバーリスクは、直接的な規制の有無にかかわらず、デジタルフットプリントを持つすべてのビジネスにとって重大なリスクであるため、すべての組織がサイバーガバナンス実践規範を採用すべきである。そのためには、ガバナンスやサイバーセキュリティ機関を通じて公表されるか否かにかかわらず、行動規範の普及を図り、また、ここで説明したような幅広い介入策を講じて普及を促進することが、英国経済全体の一般的な慣行に定着させる上で極めて重要である。
This call for views seeks input on where the Code may be best placed and promoted to ensure it reaches directors and forms a core aspect of their knowledge base on risk management in a digital age. As in other countries, such as the US and Australia, driving the required uptake will necessitate the Cyber Governance Code of Practice to be situated within existing guidance from a governance specific body, such as the Institute of Directors or the Chartered Governance Institute. Such a decision would need to be weighed against the confidence that government ownership would provide industry with when engaging with the Code, as well as the authority government ownership would provide with regards to embedding the Code in the existing regulatory landscape.  この意見募集では、行動規範を取締役に確実に浸透させ、デジタル時代のリスクマネジメントに関する知識基盤の中核を形成するために、行動規範をどのような位置づけで普及させるのが最適かについて意見を求める。米国やオーストラリアなどの他の団体と同様、必要な普及を促進するためには、取締役会やガバナンス協会など、ガバナンスに特化した団体の既存のガイダンスの中にサイバー・ガバナンス実践規範を位置づける必要がある。このような決定には、政府が所有することで、産業界がコードに関与する際の信頼性と、政府が所有することで、既存の規制環境にコードを組み込む際の認可とを比較検討する必要がある。
This call also seeks views on what role other bodies may play in the implementation and uptake of the Code. This includes, for example, considering trade, governance or sectoral organisations’ role in promoting the Code, or the extent to which professional standards and training will impact the Code’s uptake. 今回の要請では、行動規範の実施と導入において、他の団体がどのような役割を果たすかについても意見を求めている。これには、例えば、業界団体、ガバナンス団体、セクター別団体が Code の普及に果たす役割や、専門的な標準や研修が Code の普及にどの程度影響を与えるかについての検討も含まれる。
Finally, this call for views presents industry with the opportunity to provide the government with feedback on any potential barriers to implementation that should be considered, that are not already outlined in this document. 最後に、この意見募集は、この文書にまだ概説されていない、考慮すべき実施上の潜在的な障壁について、政府にフィードバックを提供する機会を産業界に提供するものである。
Assurance 保証
As a form of driving uptake, the government is also seeking to explore the utility and risks of implementing either a self or independently assessed assurance process against the code. There are a number of potential use cases for an assurance against the Code. For example, shareholders, customers, insurance firms, or business partners can derive confidence in an organisation that has external assurance of their governance of cyber risks. This call seeks views on potential demand for an assurance mechanism to support the implementation of the Code, who might find value in an independently assured ‘badge’ and for what market communication and transparency purposes it would be used.  政府は、普及を促進する一手段として、コードに対する自己または第三者評価による保証プロセスを導入することの有用性とリスクについても検討しようとしている。規範に対する保証には、多くの潜在的な利用ケースがある。例えば、株主、顧客、保険会社、ビジネスパートナーは、サイバーリスクのガバナンスを外部から保証された組織に対する信頼を得ることができる。今回の募集では、行動規範の実施を支援する保証メカニズムに対する潜在的な需要、独立した立場から保証された「バッジ」に価値を見出す可能性のある人物、どのような市場コミュニケーションや透明性の目的で利用されるのかについての見解を求めている。
Equally, the call also seeks input on associated risks of assuring cyber governance. As with assurance against any other standard or framework, there are risks of the assurance becoming outdated, and with reliability of the assurance, particularly if self-assessed. Key considerations on this potential approach to driving uptake of the Code are sought in the questions contained within this call.   また、サイバー・ガバナンスの保証に伴うリスクについても意見を求めている。他の標準やフレームワークに対する保証と同様に、保証が古くなるリスクや、特に自己評価の場合には保証の信頼性にリスクがある。規範の普及を促進するためのこの潜在的なアプローチに関する主な検討事項は、本募集に含まれる質問で求められている。 
Annex A: Cyber Governance Code of Practice 附属書A:サイバーガバナンス実践規範
Please note: some users may need to scroll across to see the full text of the Code. 注意:コードの全文を見るには、スクロールが必要な場合がある。
Cyber Governance Code of Practice サイバーガバナンス行動規範
A: Risk management A: リスクマネジメント
・ Ensure the most important digital processes, information and services critical to the ongoing operation of the business and achieving business objectives have been identified, prioritised and agreed. 事業の継続的な運営と事業目標の達成に不可欠な最も重要なデジタルプロセス、情報、サービスが識別され、優先順位が付けられ、合意されていることを確認する。
・ Ensure that risk assessments are conducted regularly and mitigations account for changes in the internal, external and regulatory environments, which are more rapidly changing than in traditional risk areas. リスクアセスメントを定期的に実施し、従来のリスク領域よりも変化の激しい内部、外部、規制環境の変化を考慮した低減策を講じる。
・ Establish confidence in and take effective decisions on the level of cyber security risk that is acceptable to the organisation and how much will need to be managed to achieve the business objectives. 組織として許容できるサイバーセキュリティリスクのレベル、及び事業目標を達成 するためにどの程度のリスクマネジメントが必要であるかについて、自信を確立 し、効果的な意思決定を行う。
・ Ensure that cyber security risks are addressed as part of the organisation’s broader enterprise risk management and internal control activities, and establish ownership of risks with relevant seniors beyond the CISO. サイバーセキュリティリスクが、組織の広範なエンタープライズリスク マネジメント及び内部統制活動の一環として対処されていることを確認し、 CISO 以外の関連する幹部との間でリスクのオーナーシップを確立する。
・ Gain assurance that supplier information is routinely assessed and reviewed commensurate to their level of risk, and that the organisation is resilient against cyber security risks associated with suppliers, stakeholders and business partners. サプライヤの情報が、そのリスクレベルに見合っ て日常的に評価・レビューされ、サプライヤ、 利害関係者、ビジネスパートナーに関連するサイバーセ キュリティリスクに対して組織がレジリエンスを持ってい ることを保証する。
B: Cyber strategy B: サイバー戦略
・ Monitor and review the cyber resilience strategy in accordance with the level of accepted cyber risk, the business strategy, and in the context of legal and regulatory obligations. 許容されるサイバーリスクのレベル、事業戦略、および法的・規制上の義務に照らして、サイバーレジリエンス戦略を監視し、見直す。
・ Monitor and review the delivery of the cyber resilience strategy in line with current business risks and in the context of the changing risk environment. 現在のビジネスリスクと変化するリスク環境に応じて、サイバーレジリエンス戦略の実施を監視し、見直す。
・ Ensure appropriate resources and investment are allocated and used effectively to develop capabilities that manage cyber security threats and the associated business risks. サイバーセキュリティの脅威と関連するビジネスリスクを管理する能力を開発するため に、適切なリソースと投資が割り当てられ、効果的に使用されるようにする。
C: People C: 人
・ Sponsor communications on the importance of cyber resilience to the business, based on the organisation’s strategy. 組織の戦略に基づき、事業にとってのサイバーレジリエンスの重要性に関するコミュニケーションを支援する。
・ Ensure there are clear cyber security policies that support a positive cyber security culture, and satisfy themselves that its culture is aligned with the cyber resilience strategy. 積極的なサイバーセキュリティ文化を支える明確なサイバーセキュリティ方針があることを確 認し、その文化がサイバーレジリエンス戦略と整合していることを自ら確認する。
・ Take responsibility for the security of the organisation’s data and digital assets by undertaking training to ensure cyber literacy and by keeping information and data they use safe. サイバーリテラシーを確保するためのトレーニングを受け、使用する情報やデータを安全に保つことで、組織のデータやデジタル資産のセキュリティに責任を持つ。
・ Ensure the organisation has an effective cyber security training, education and awareness programme and metrics are in place to measure its effectiveness. 組織が効果的なサイバーセキュリティのトレーニング、教育、意識向上プログラムを実施し、その効果を測定するための指標を整備する。
D: Incident planning and response D: インシデント計画と対応
・ Ensure that the organisation has a plan to respond to and recover from a cyber incident impacting business critical processes, technology and services. 組織が、業務上重要なプロセス、技術、サービスに影響を及ぼすサイバーインシデントへの対応と回復のための計画を有していることを確認する。
・ Ensure that there is regular, at least annual, testing of the plan and associated training, which involves relevant internal and external stakeholders. The plan should be reviewed based on lessons learned from the test and broader external incidents. 少なくとも年 1 回は、社内外の関係者が参加する計画の定期的なテストと関連する訓練を確実に実施する。テストから得られた教訓や、より広範な外部インシデントに基づいて、計画を見直す。
・ In the event of an incident, take responsibility for individual regulatory obligations, and support executives in critical decision making and external communications. インシデントが発生した場合、個々の規制上の義務に責任を負い、重要な意思決定と外部コミュ ニケーションにおいて経営幹部を支援する。
・ Ensure that a post incident review process is in place to incorporate lessons learned into future response and recovery plans. インシデント発生後のレビュープロセスを確実に実施し、得られた教訓を今後の対応計画や復旧計画に反映させる。
E: Assurance and oversight E: 保証と監督
・ Establish a governance structure that aligns with the current governance structure of the organisation, including clear definition of roles and responsibilities, and ownership of cyber resilience at executive and non-executive director level. 役割と責任の明確な定義、経営幹部および社外取締役レベルにおけるサイバーレジリエンスのオーナーシップなど、組織の現在のガバナンス構造と整合するガバナンス構造を確立する。
・ Establish a regular monitoring process of the organisation’s cyber resilience and review of respective mitigations and the cyber resilience strategy. 組織のサイバーレジリエンスの定期的なモニタリングプロセスを確立し、それぞれの低減策とサイバーレジリエンス戦略をレビューする。
・ Establish regular two way dialogue with relevant senior executives, including but not limited to the CISO or relevant risk owner. CISO 又は関連リスクオーナーを含むがこれに限定されない、関連する上級幹部との定期的な双方向の対話を確立する。
・ Establish formal reporting on at least a quarterly basis and have agreed a target range for each measurement on what is acceptable to the business. 少なくとも四半期ごとに正式なレポーティングを確立し、各測定値について、ビジネス上許容される目標範囲を合意する。
・ Determine how internal assurance will be achieved and ensure the cyber resilience strategy is integrated across existing external and internal assurance mechanisms. 内部保証の方法を決定し、サイバーレジリエンス戦略が既存の外部保証および内部保証の仕組みに統合されていることを確認する。

 

● 経済産業省

サイバーセキュリティ経営ガイドラインと支援ツール

 


 

 

|

« NATO 量子技術戦略の概略 (2024.01.17) | Main | 米国 意見募集 FedRAMP 新技術優先順位付けフレームワーク - 概要 (2024.01.26) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« NATO 量子技術戦略の概略 (2024.01.17) | Main | 米国 意見募集 FedRAMP 新技術優先順位付けフレームワーク - 概要 (2024.01.26) »