英国 NCSC 取締役会のためのサイバーガバナンス
こんにちは、丸山満彦です。
NCSCの取締役会のためのサイバーガバナンスについてのウェブページを公表していますが、参考になりますね...
このブログでも取り上げていますが、NCSCは今年の4月に取締役会のためのサイバーガバナンス(サイバーガバナンス実践規範)を公開していますが、それも含めてツールキッとなども公開しています...
● National Cyber Security Centre: NCSC
| Cyber Governance for Boards | 取締役会向けサイバーガバナンス |
| Resources to enable Boards to govern cyber risks with confidence. | 取締役会が自信を持ってサイバーリスクを統治するためのリソース。 |
| Technology and digital systems are at the heart of modern business, driving innovation, growth, and competitiveness. As organisations adopt emerging technologies, they also introduce new risks - cyber risk being one of the most significant. | テクノロジーとデジタルシステムは現代ビジネスの核心であり、イノベーション、成長、競争力を推進している。組織が新興技術を採用するにつれ、新たなリスクも導入される。サイバーリスクはその中でも最も重大なリスクの一つだ。 |
| Cyber threats can disrupt operations, damage reputation, and weaken competitiveness, making cyber risk a principal business risk. As with any major risk, Boards and directors have a critical responsibility to govern it effectively. However, many organisations are still not addressing this challenge with the urgency it demands. | サイバー脅威は業務を混乱させ、評判を損ない、競争力を弱める。そのためサイバーリスクは主要なビジネスリスクとなる。あらゆる重大リスクと同様に、取締役会と取締役はこれを効果的に統治する重大な責任を負う。しかし多くの組織は、この課題に求められる緊急性をもって対応していない。 |
| ・74% of large organisations reported cyber breaches in the last year | ・大企業の74%が過去1年間にサイバー侵害を報告 |
| ・Only 66% of large organisations have a cyber strategy in place | ・大企業の66%のみがサイバー戦略を策定 |
| ・Just 48% of large organisations review cyber risks from their immediate supplier | ・大企業の48%のみが一次サプライヤーからのサイバーリスクを評価 |
| ・And only 23% of large organisations assess wider supply chain risks | ・大規模組織のわずか23%が広範なサプライチェーンリスクを評価している |
| ・Only 55% of medium organisations have an incident response plan | ・中規模組織の55%のみがインシデント対応計画を有している |
| ・37% of medium businesses have not undertaken cyber security risk assessments in the last year | ・中規模企業の37%が過去1年間にサイバーセキュリティリスク評価を実施していない |
| CYBER BREACHES SURVEY 2024 | 2024年サイバー侵害調査 |
| These Cyber Governance resources have been created to support boards and directors in governing cyber security risks. They also clarify the government’s expectations for Board accountability in overseeing cyber security risk management in medium and large organisations. | これらのサイバーガバナンス資料は、取締役会と取締役がサイバーセキュリティリスクを統治する支援を目的として作成された。また、中規模・大規模組織におけるサイバーセキュリティリスク管理の監督において、取締役会が負うべき説明責任に関する政府の期待を明確化するものである。 |
| ・Cyber Governance Code of Practice | ・サイバーガバナンス実践規範 |
| Sets out the most critical governance actions that directors need to take ownership of. | 取締役が主導すべき最も重要なガバナンス行動を定める。 |
| ・Cyber Governance Training | ・サイバーガバナンストレーニング |
| Resources to enable Boards to govern cyber risks with confidence. | 取締役会が自信を持ってサイバーリスクを統治するためのリソース。 |
| ・Cyber Security Toolkit for Boards | ・取締役会向けサイバーセキュリティツールキット |
| Resources to enable Boards to govern cyber risks with confidence. | 取締役会が自信を持ってサイバーリスクを統治するためのリソース。 |
| Who are these Cyber Governance Resources for? | これらのサイバーガバナンスリソースの対象は? |
| These resources are tailor-made for Boards and directors of both public and private organisations across the UK. | これらのリソースは、英国全土の公的・民間組織の取締役会および取締役向けに特別に作成されたものである。 |
| That could be: | 具体的には: |
| ・Non-Executive Directors or a Board of Trustees | ・非常勤取締役または理事会 |
| ・A Board of Directors | ・取締役会 |
| ・A Board of Governors/Advisors | ・評議員会/諮問委員会 |
| Although not specifically designed for smaller organisations, they offer valuable benefits and practical insights that can help strengthen their approach to governance. | 小規模組織向けに特別に設計されたものではないが、ガバナンス手法の強化に役立つ貴重な利点と実践的な知見を提供する。 |
| How to use the Cyber Governance Resources | サイバーガバナンスリソースの活用方法 |
| Boards should begin with the Cyber Governance Code of Practice, which is the foundation of government’s support for cyber governance. The Code is the essential starting point for board members, outlining the key actions needed to govern cyber security risks effectively. | 取締役会はまず「サイバーガバナンス実践規範」から始めるべきだ。これは政府がサイバーガバナンスを支援する基盤となる規範である。規範は取締役にとって不可欠な出発点であり、サイバーセキュリティリスクを効果的に統治するために必要な主要な行動を概説している。 |
| Next, the Cyber Governance Training helps Boards and directors deepen their understanding of these actions, providing practical insights into why they matter and how to implement them. | 次に「サイバーガバナンストレーニング」は、取締役会と取締役がこれらの行動に対する理解を深めるのに役立つ。なぜそれらが重要なのか、そしてどのように実施すべきかについて実践的な洞察を提供する。 |
| Finally, the Cyber Security Toolkit for Boards offers in-depth resources to support the implementation of the actions outlined in the Code, ensuring Boards have the tools they need to manage cyber risks comprehensively. | 最後に、取締役会向けサイバーセキュリティツールキットは、コードで示された行動の実施を支援する詳細なリソースを提供し、取締役会がサイバーリスクを包括的に管理するために必要なツールを確保する。 |
| Cyber security risks demand Board-level attention. While directors don’t need to be technical experts, they must understand cyber governance principles so they can ask the right questions, evaluate preparedness, and ensure cyber security measures align with the business’s goals. | サイバーセキュリティリスクは取締役会レベルの注意を必要とする。取締役は技術専門家である必要はないが、適切な質問をし、準備状況を評価し、サイバーセキュリティ対策が事業の目標に沿っていることを確認できるよう、サイバーガバナンスの原則を理解しなければならない。 |
| Cyber security risks demand Board-level attention. While directors don’t need to be technical experts, they must understand cyber governance principles so they can ask the right questions, evaluate preparedness, and ensure cyber security measures align with the business’s goals. | サイバーセキュリティリスクは取締役会レベルの対応を必要とする。取締役が技術専門家である必要はないが、適切な質問をし、準備状況を評価し、サイバーセキュリティ対策が事業目標に沿っていることを確認できるよう、サイバーガバナンスの原則を理解しなければならない。 |
サイバーガバナンス実践規範
・Cyber Governance Code of Practice
| Cyber Governance Code of Practice | サイバーガバナンス実践規範 |
| Sets out the most critical governance actions that directors need to take ownership of. | 取締役が責任を負うべき最も重要なガバナンス行動を定める。 |
| Effective cyber governance, like financial oversight, requires strong leadership and proactive engagement at Board level. To support leaders in this critical role, the government has introduced the Cyber Governance Code of Practice (the Code) opens to GOV.UK. |
効果的なサイバーガバナンスは、財務監督と同様に、強力なリーダーシップと取締役会レベルでの積極的な関与を必要とする。この重要な役割を担うリーダーを支援するため、政府はサイバーガバナンス実践規範(以下「規範」)をGOV.UKに公開した |
| What is the Cyber Governance Code of Practice? | サイバーガバナンス実践規範とは何か? |
| The Code has been developed to support Boards and Directors in governing cyber security risks and it sets out the most critical governance actions that Boards need to take ownership of. | 本規範は、取締役会と取締役がサイバーセキュリティリスクを統治することを支援するために策定された。取締役会が責任を負うべき最も重要なガバナンス行動を定めるものである。 |
| It outlines the responsibilities and accountability required at Board level, helping leaders fulfil their duty of care to their organisation. | 取締役会レベルで求められる責任と説明責任を概説し、リーダーが組織に対する注意義務を果たすのを助ける。 |
| The Code is built around five key governance principles: | 本規範は5つの主要なガバナンス原則を中核としている: |
| ・Risk Management | ・リスク管理 |
| ・Strategy | ・戦略 |
| ・People | ・人材 |
| ・Incident Planning, Response & Recovery | ・インシデント計画・対応・復旧 |
| ・Assurance & Oversight | ・アシュアランスと監視 |
| Each principle is accompanied by specific actions for Boards to implement. By embedding these principles, you'll ensure you are governing your organisations cyber security risks more effectively. | 各原則には、取締役会が実施すべき具体的な行動が伴う。これらの原則を組み込むことで、組織のサイバーセキュリティリスクをより効果的に統治できる。 |
| Who should use the Cyber Governance Code of Practice? | 誰がサイバーガバナンス実践規範を使用すべきか? |
| The Cyber Governance Code of Practice is tailor-made for Boards and directors of both public sector and private organisations across the UK. The code is not intended to be used by those who are responsible for the day-to-day management of cyber security but can be used to highlight to boards what their responsibilities are. | 本実践規範は、英国全域の公共部門・民間組織の取締役会および取締役向けに特別に作成されたものである。日常的なサイバーセキュリティ管理責任者向けではなく、取締役会に対しその責任範囲を明確に示すために活用できる。 |
| The Cyber Governance Code of Practice has been designed for medium and large organisations. However, while the code has not been specifically designed for smaller organisations, many small organisations play a critical role in the cyber security of wider digital supply chains. Depending on their cyber maturity and/or risk profile, they may wish to use Cyber Governance Code of Practice to inform how they govern cyber risk. Small organisations should refer to the NCSC's resources for small & medium sized organisations for further guidance. | 本規範は中規模・大規模組織向けに設計されている。ただし、小規模組織向けに特別に設計されたものではないものの、多くの小規模組織は広範なデジタルサプライチェーンのサイバーセキュリティにおいて重要な役割を担っている。サイバー成熟度やリスクプロファイルに応じて、小規模組織もサイバーリスクの統治方法の指針として本規範を活用できる。小規模組織は、NCSCが提供する中小企業向けリソースを参照し、さらなるガイダンスを得るべきである。 |
| Why should Boards and Directors use the Cyber Governance Code of Practice? | 取締役会と取締役がサイバーガバナンス実践規範を利用すべき理由 |
| Governing cyber risks requires strong engagement and action at a leadership level. Cyber incidents can disrupt business continuity, reduce an organisation’s competitiveness, and damage customer trust. Cyber criminals exploit weaknesses in systems, regardless of the size or sector of the organisation. | サイバーリスクの統治には、リーダーシップレベルでの強力な関与と行動が求められる。サイバーインシデントは事業継続を阻害し、組織の競争力を低下させ、顧客の信頼を損なう。サイバー犯罪者は組織の規模や業種に関わらず、システムの弱点を悪用する。 |
| Building and maintaining cyber resilience is therefore crucial to protecting your organisation’s financial stability. Doing so will allow organisations to take full advantage of digital technologies, like artificial intelligence, which can drive the business strategy and improve business performance and efficiency, whilst managing the risks. | したがって、組織の財務的安定性を守るためには、サイバーレジリエンスを構築し維持することが極めて重要だ。これにより組織は、リスクを管理しつつ、人工知能などのデジタル技術を最大限活用できる。こうした技術は事業戦略を推進し、事業パフォーマンスと効率性を向上させる可能性がある。 |
| Get started with the Cyber Governance Code of Practice. | サイバーガバナンス実践規範の利用を開始する。 |
・[HTML][PDF] Cyber Governance Code of Practice
トレーニング
| Cyber Governance Training | サイバーガバナンストレーニング |
| Resources to enable Boards to govern cyber risks with confidence. | 取締役会が自信を持ってサイバーリスクを統治するためのリソース。 |
| Cyber security incidents can have a huge impact on an organisation in terms of cost, productivity, reputation, loss of customers and legal implications. Cyber resilience is about being prepared for an inevitable cyber security breach and Boards have a critical role, and accountability, in cyber governance. | サイバーセキュリティインシデントは、コスト、生産性、評判、顧客喪失、法的影響の面で組織に甚大な影響を及ぼし得る。サイバーレジリエンスとは、避けられないサイバーセキュリティ侵害に備えることであり、取締役会はサイバーガバナンスにおいて重要な役割と説明責任を負う。 |
| By actively engaging, Boards can strengthen their organisation's ability to prepare for, respond to, and recover from cyber security incidents. By actively engaging, directors can ensure their organisation is equipped to anticipate threats, mitigate risks, and effectively manage incidents when they occur. | 取締役会が積極的に関与することで、組織はサイバーセキュリティインシデントへの備え、対応、復旧能力を強化できる。取締役が積極的に関与することで、組織が脅威を予測し、リスクを軽減し、インシデント発生時に効果的に管理する態勢を整えられる。 |
| About the Training | トレーニングについて |
| The NCSC has created five interactive training modules aligned with the principles of the Cyber Governance Code of Practice. Developed with insights from industry Non-Executive Directors and government subject matter experts, these modules are designed to meet the needs of Boards. They support Boards and Directors in understanding the principles of the Code and putting its recommended actions into practice, helping to improve their organisation's cyber resilience, without delving into the technical detail. | NCSCは、サイバーガバナンス実践規範の原則に沿った5つの対話型トレーニングモジュールを作成した。業界の非常勤取締役や政府の専門家からの知見を基に開発されたこれらのモジュールは、取締役会のニーズを満たすように設計されている。技術的な詳細に踏み込むことなく、規範の原則を理解し、推奨される行動を実践に移すことで、組織のサイバーレジリエンス向上を支援する。 |
| The training begins with an introductory module that outlines the purpose of the Cyber Governance Code of Practice, why cyber governance is important for Boards, and how it can support them to effectively govern cyber risks within their organisation. | トレーニングは導入モジュールから始まる。ここでは「サイバーガバナンス実践規範」の目的、取締役会にとってサイバーガバナンスが重要な理由、組織内のサイバーリスクを効果的に統治する支援方法について概説する。 |
| It is followed by five modules, each covering one of the Code of Practice principles. Each module should take approximately 20 minutes to complete and all 5 don’t need to be completed in one session. Each module includes: | 続いて5つのモジュールが展開され、各モジュールが実践規範の原則の一つを扱う。各モジュールの所要時間は約20分で、5つ全てを一回のセッションで完了する必要はない。各モジュールには以下が含まれる: |
| ・An overview of the principle | ・原則の概要 |
| ・The Cyber Governance Code of Practice actions under that principle | ・当該原則に基づく実践規範の行動指針 |
| ・The learning outcomes that are expected to be achieved following completion of the module | ・モジュール修了時に習得すべき学習成果 |
| ・A short video covering a use-case or scenario | ・ユースケースやシナリオを解説する短編動画 |
| ・Five multiple-choice questions | ・5問の多肢選択式問題 |
| ・A final overview and a printable PDF summarising the key points | ・最終概要と要点をまとめた印刷用PDF |
| ・A link to relevant NCSC resources | ・関連するNCSCリソースへのリンク |
| Board members don’t need to be cyber experts, but understanding key governance principles is essential for ensuring your organisation’s resilience. | 取締役はサイバーの専門家である必要はないが、組織のレジリエンスを確保するには主要なガバナンス原則を理解することが不可欠だ。 |
| Get started with the training modules | トレーニングモジュールの開始 |
| Introduction to the Code of Practice | 実践規範入門 |
| This module introduces the Cyber Governance Code of Practice, explains its purpose, the importance of cyber governance for Boards, and how it can support you in ensuring that cyber security risk is effectively managed within your organisation. | 本モジュールでは、サイバーガバナンス実践規範の概要、その目的、取締役会にとってのサイバーガバナンスの重要性、組織内でのサイバーセキュリティリスクの効果的な管理を支援する方法を説明する。 |
| Start Introduction to the Code of Pratice | 実践規範入門を開始 |
| Risk Management | リスク管理 |
| This module outlines five key insights to help Boards drive action and ensure effective governance of cyber risk within their organisation. | 本モジュールでは、取締役会が組織内のサイバーリスクに対する効果的なガバナンスを確保し、行動を推進するための5つの重要な洞察を概説する。 |
| Start Risk Management | リスク管理を開始 |
| Strategy | 戦略 |
| This module explains the Board’s role in overseeing an effective cyber strategy, ensuring it aligns with the wider business strategy and organisational goals. | このモジュールでは、効果的なサイバー戦略を監督し、それが広範な事業戦略や組織目標と整合することを確保する取締役会の役割を説明する。 |
| Start Strategy | 戦略を開始 |
| People | 人材 |
| Boards will learn how to promote a positive cyber security culture, leading by example, and ask insightful questions to ensure effective oversight. | 取締役会は、模範を示すことで積極的なサイバーセキュリティ文化を促進し、効果的な監督を確保するための洞察に富んだ質問を投げかける方法を学ぶ。 |
| Start People | 開始 人材 |
| Incident Planning, Response & Recovery | インシデント計画、対応、復旧 |
| Boards will explore their strategic role in ensuring effective oversight of cyber incident preparedness, response, and recovery. | 取締役会は、サイバーインシデントへの備え、対応、復旧の効果的な監督を確保する戦略的役割を探求する。 |
| Start Incident Planning, Response & Recovery | 開始 インシデント計画、対応、復旧 |
| Assurance and Oversight | アシュアランスと監督 |
| This module explains how Boards can provide strategic oversight, engage with experts, and ensure effective assurance. | このモジュールでは、取締役会が戦略的監督を提供し、専門家と連携し、効果的なアシュアランスを確保する方法について説明する。 |
| Start Assurance and Oversight | 開始 アシュアランスと監督 |
ツールキット...
・Cyber Security Toolkit for Boards
| Cyber Security Toolkit for Boards | 取締役会向けサイバーセキュリティツールキット |
| Resources to enable Boards to govern cyber risks with confidence. | 取締役会が自信を持ってサイバーリスクを統治するためのリソース。 |
| Board members have a critical role in ensuring their organisations are not just resilient and secure, but are ready to exploit the opportunities that technology brings. The Toolkit helps Boards to ensure that cyber resilience and risk management are embedded throughout an organisation, including its people, systems, processes and technologies. | 取締役は、組織が単に強靭で安全であるだけでなく、技術がもたらす機会を活用する準備が整っていることを保証する上で重要な役割を担う。本ツールキットは、サイバーレジリエンスとリスク管理が組織全体(人材、システム、プロセス、技術を含む)に組み込まれるよう取締役会を支援する。 |
| How to use the Toolkit | ツールキットの使用方法 |
| The Toolkit is organised around the Cyber Governance Code of Practice (opens to GOV.UK), and explains how Boards can implement the principles outlined in the Code. It includes two introductory modules: the first on the Toolkit structure and the second for those new to cyber security. | 本ツールキットは「サイバーガバナンス実践規範」(GOV.UKサイトへリンク)を軸に構成され、規範で示された原則を取締役会がどのように実施できるかを説明する。導入モジュールは2つあり、1つ目はツールキットの構造について、2つ目はサイバーセキュリティ初心者向けの内容である。 |
・Cyber Security Toolkit for Boards
目次...
● まるちゃんの情報セキュリティ気まぐれ日記
・2025.04.10 英国 NCSC 取締役会のためのサイバーガバナンス(サイバーガバナンス実践規範)(2025.04.08)
・2024.11.28 英国 NCSC ガイダンス「サイバーセキュリティリスクマネジメントを改善するための取締役会との協力」とブログ記事「取締役会にサイバーについてどう話すか」 (2024.10.07)
・2024.02.05 英国 意見募集 サイバー・ガバナンス実践規範 (2024.01.23)
・2023.06.27 英国 NSCS (サイバーセキュリティ向け)リスクマネジメントガイドの改訂 (2023.06.23) + 取締役会向けサイバーセキュリティ・ツールキット (2023.03.30)
Comments