オランダ サイバーセキュリティ評議会 役員および事業主のためのサイバーセキュリティガイド (2025.08.14)
こんにちは、丸山満彦です。
オランダにあるオランダ政府と経済界でつくる独立諮問機関であるサイバーセキュリティ評議会 (Cyber Security Council) が役員 (Director) と事業主 (business owner) のためのセキュリティガイドを作成していますね...
NIS2、DORA対応ということで作成されている面もあるようですね。。。
オランダの法制度に基づくところがあるものの、汎用的に使える部分も多いと思われるので、参考にするとよいと思いました。
主要コントロール指標(Key Control Indicators: KCI)の例があるのは興味深いですね...
役員むけのチェックリストも附属書についていますね...
経済産業省のサイバーセキュリティ経営ガイドラインの次の改訂ではKCIのようなものを入れてみるのも良いですかね...
● Cyber Security Council
・2025.08.14 Guide to cyber security for directors and business owners
| Guide to cyber security for directors and business owners | 役員および事業主のためのサイバーセキュリティガイド |
| This guide is intended for directors, business owners and members of supervisory boards across all organisations, regardless of size or whether they are public or private. It is also relevant for directors and owners of businesses that are not subject to the cyber security legislation, such as NIS2 or DORA. Throughout this guide, we use the term ‘directors’ to refer to directors, business owners and members of supervisory boards. As this guide is written from a Dutch perspective, it refers to Dutch legislation. However, the insights provided are broadly applicable. | 本ガイドは、規模や公的・私的を問わず、あらゆる組織の取締役、事業主、監査役会メンバーを対象としています。NIS2やDORAなどのサイバーセキュリティ法規制の対象外である企業の取締役や所有者にも関連する。本ガイドでは、取締役、事業主、監査役会メンバーを総称して「役員」と呼称する。本ガイドはオランダの観点から作成されているため、オランダの法令を参照している。ただし、提供される知見は広く適用可能である。 |
・[PDF]
目次...
| 1. Target group of this guide | 1. 本ガイドの対象者 |
| 2. Why is this guide important for you? | 2. 本ガイドが重要な理由 |
| 3. The goal is cyber security and resilience of your organisation | 3. 組織のサイバーセキュリティとレジリエンスの確保が目標 |
| 4. What questions should you be asking as a director? | 4. 役員として問うべき質問 |
| 5. Prioritise to effectively mitigate your cyber risks | 5. サイバーリスクを効果的に緩和するための優先順位付け |
| 6. Continuous oversight – governance | 6. 継続的な監視 – ガバナンス |
| 7. Legal aspects of your management responsibility | 7. 経営責任の法的側面 |
| 8. Responsibility for cyber risks extends beyond your own organisation | 8. サイバーリスクに対する責任は自社組織を超えて及ぶ |
| 9. External reporting obligations | 9. 外部報告義務 |
| 10. Director training with impact | 10. 効果的な役員研修 |
| 11. Keep your finger on the pulse and improve where necessary | 11. 常に最新情報を把握し、必要に応じて改善する |
| 12. Set the right tone at the top – lead by example | 12. 適切なトップの姿勢を示す – 率先垂範 |
| 13. Acknowledgements | 13. 謝辞 |
| 14. Appendices | 14. 附属書 |
| Appendix 1: List of abbreviations and terminology | 附属書1:略語・用語一覧 |
| Appendix 2: Non-exhaustive list of cyber risks | 附属書2:サイバーリスクの非網羅的リスト |
| Appendix 3: Checklist for directors | 附属書3:役員向けチェックリスト |
| Appendix 4: More information on specific Dutch statutory requirements NIS2 – Cyber Security Act | 附属書4:オランダの特定法定要件に関する詳細情報 NIS2 – サイバーセキュリティ法 |
| ・NIS2 Cyber Security Act – Responsibilities of directors | ・NIS2 サイバーセキュリティ法 – 役員の責任 |
| ・NIS2 Cyber Security Act – Supply chain requirements | ・NIS2サイバーセキュリティ法 – サプライチェーン要件 |
| ・NIS2 Cyber Security Act – Liabilities of directors | ・NIS2サイバーセキュリティ法 – 役員の責任 |
| ・NIS2 Cyber Security Act – Training requirements | ・NIS2サイバーセキュリティ法 – 研修要件 |
| Read more about DORA | DORAの詳細 |
| ・DORA – Responsibilities of directors | ・DORA – 役員の(職務)責任 |
| ・DORA – Liabilities of directors | ・DORA – 役員の(法的)責任 |
| Read more about CER | CERの詳細 |
| Read more about CRA | CRAの詳細 |
主要コントロール指標(Key Control Indicators: KCI)の例
| Description | 説明 | Measurement | 測定 |
| KCI 1 Inventory of ICT assets | KCI 1 ICT資産の棚卸 | % of critical ICT assets included in inventory, in accordance with policy | ポリシーに従い、重要ICT資産のインベントリ登録率 |
| KCI 2 Privileged accounts | KCI 2 特権アカウント | % of privileged accounts managed within policy; number of privileged accounts | ポリシー内で管理されている特権アカウントの割合;特権アカウント数 |
| KCI 3 Addressing vulnerabilities | KCI 3 脆弱性への対応 | % of high-risk security updates applied within N hours | N時間以内に適用された高リスクセキュリティ更新プログラムの割合 |
| KCI 4 Reliable backups of data and applications | KCI 4 データとアプリケーションの信頼性のあるバックアップ | Maximum time to recover critical resources (% of critical resources recoverable in N hours) | 重要リソースの最大復旧時間(N時間以内に復旧可能な重要リソースの割合) |
| KCI 5 Secured workstations | KCI 5 保護されたワークステーション | % of workstations configured in line with policy | ポリシーに沿って設定されたワークステーションの割合 |
| KCI 6 Log collection | KCI 6 ログ収集 | % of critical systems onboarded for log collection | ログ収集のためにオンボーディングされた重要システムの割合 |
| KCI 7 Network security | KCI 7 ネットワークセキュリティ | % of compliant network security settings | 準拠したネットワークセキュリティ設定の割合 |
| KCI 8 Third-party compliance | KCI 8 サードパーティのコンプライアンス | % of compliant key connections with third parties | サードパーティとの準拠した主要接続の割合 |
| KCI 9 Identity management | KCI 9 識別情報管理 | % of systems and users covered by multifactor authentication (MFA) – % of privileged accounts using phishing-resistant MFA | 多要素認証(MFA)の対象となるシステムおよびユーザーの割合 – フィッシング耐性MFAを使用する特権アカウントの割合 |
| KCI 10 Major incidents | KCI 10 重大インシデント | % of major cyber incidents with no business impact | ビジネスへの影響がない重大なサイバーインシデントの割合 |
| KCI 11 Risk acceptance | KCI 11 リスク受容 | Number of risk accepted policy deviations | リスク受容済みポリシー逸脱件数 |
| KCI 12 Security of internet-exposed ICT systems | KCI 12 インターネットに公開されたICTシステムのセキュリティ | % of internet-exposed assets that are adequately protected and monitored | 適切に保護・監視されているインターネット公開資産の割合 |
| KCI 13 Crown jewels monitoring | KCI 13 重要資産の監視 | % of crown jewels covered by security monitoring | セキュリティ監視対象の重要資産の割合 |
| KCI 14 Origin of cyber incidents | KCI 14 サイバーインシデントの発生源 | % of security incidents linked to deficiencies in at least one key control | 少なくとも1つの重要管理措置の不備に関連するセキュリティインシデントの割合 |
| KCI 15 Resilience testing | KCI 15 レジリエンステスト | Results of resilience testing (red teaming) | レジリエンステスト(レッドチーム)の結果 |
| KCI 16 Cryptography | KCI 16 暗号技術 | % of resources with post-quantum security % of resources with compliant key management | 耐量子セキュリティ対応リソースの割合 準拠鍵管理リソースの割合 |
役員むけのチェックリスト
| APPENDIX 3: | 附属書3: |
| CHECKLIST FOR DIRECTORS | 取締役向けチェックリスト |
| ・ Organise an all-hands training session for directors to enable informed decision-making and oversight of implementing cyber risk management. Ask your CISO to map the threat landscape for your organisation. | ・取締役全員を対象とした研修を実施し、サイバーリスク管理の実施に関する情報に基づいた意思決定と監督を可能にする。CISOに対し、組織の脅威状況をマッピングするよう依頼する。 |
| ・ Determine your risk appetite | ・リスク許容度を決定する |
| ・ Ask for a cyber risk strategy and a set of measures to manage cyber security risks to be drawn up, submitted and then formally approved. | ・サイバーリスク戦略とサイバーセキュリティリスク管理のための一連の措置を策定・提出させ、正式に承認させる。 |
| ・ Ask for the top KCIs to be proposed, with targets set, measured and reported on a quarterly basis. Organise and test the incident response and recovery plan. | ・主要なKCI(重要成果指標)を提案させ、目標を設定し、四半期ごとに測定・報告させる。インシデント対応・復旧計画を策定し、テストを実施する。 |
| ・ Adapt your cyber governance to include clear mandates and reporting lines for setting, monitoring and reporting on the cyber risk strategy. Ensure the CISO has sufficient resources, autonomy and support. | ・サイバーガバナンスを適応させ、サイバーリスク戦略の設定・監視・報告に関する明確な権限と報告ラインを組み込む。CISOが十分なリソース、自律性、支援を得られるようにする。 |
| ・ Ask for the relevant regulatory requirements for your organisation to be identified and a plan drawn up to ensure compliance. | ・ 組織に関連する規制要件を識別し、コンプライアンス確保のための計画策定を求める。 |
| ・ Determine which individuals or roles could be held liable under applicable regulation and arrange appropriate liability insurance. | ・ 適用される規制下で責任を問われる可能性のある個人または役割を識別し、適切な賠償責任保険を手配する。 |
| ・ Check whether you have asked your CISO all relevant questions | ・ CISOに対して関連する質問を全て行っているか確認する |
Comments