オーストラリア 取締役会におけるサイバーセキュリティの優先事項 2025-26

こんにちは、丸山満彦です。

オーストラリア信号局（ASD）とオーストラリア会社取締役協会（AICD）が、取締役会で議論すべきサイバーセキュリティの優先事項を公表していますね...

オーストラリアでは上場企業や大企業の取締役会は重要な意思決定と執行の監督、執行役員が日常の業務執行をするというのが一般的だと思います。中小企業では、業務執行とその監督は明確に分けられていないかもしれません。

ちなみに、オーストラリア会社取締役協会は

• サイバーセキュリティガバナンス原則（第2版）
• サイバー危機におけるガバナンス

も公表しているのですね...

この２つがベースで、これに追加して2025−2026は、次の４つを重要なポイントとしてあらたに上げているという感じですかね...

Does your organisation have event logging and threat detection?	貴組織はイベント記録と脅威検知を実施しているか？
How does your organisation manage legacy information technology?	貴組織はレガシーITをどのように管理しているか？
How does your organisation manage its cyber supply chain risk?	貴組織はサイバーサプライチェーンリスクをどのように管理しているか？
Does your organisation have a post-quantum cryptography transition plan?	貴組織は耐量子暗号移行計画を有しているか？

 

 

 

● Australian Institute of Company Directors

・2025.10.30 Cyber security priorities for boards in 2025-26

Cyber security priorities for boards in 2025-26	2025-26年度の取締役会におけるサイバーセキュリティ優先事項
The Australian Signals Directorate (ASD) and the AICD have collaborated to publish cyber security governance guidance targeted at the current cyber threat environment.	オーストラリア信号局（ASD）とAICDは、現在のサイバー脅威環境を対象としたサイバーセキュリティガバナンス指針を共同で公表した。
The cyber threat environment is constantly changing with new and evolving threats posing significant risks to all sizes and types of Australian organisations. Boards play a key role in overseeing the cyber resilience of their organisations, including engaging with management on how the organisation is responding to current threats.	サイバー脅威環境は絶えず変化しており、新たな脅威や進化する脅威が、あらゆる規模・業種のオーストラリア組織に重大なリスクをもたらしている。取締役会は、組織のサイバーレジリエンスを監督する上で重要な役割を担っており、現在の脅威への対応策について経営陣と協議することも含まれる。
This guidance from the ASD and AICD provides an extensive list of threshold and supplementary technical questions for boards to ask of management in four priority areas. Informed by the ASD’s intelligence gathering these priority areas are; implementing effective event logging, managing legacy IT risks, overseeing cyber supply chain risks and preparing for post-quantum cryptography.	ASDとAICDによる本ガイドラインは、4つの重点領域において取締役会が経営陣に問うべき閾値技術質問と補足技術質問の包括的なリストを提供する。ASDの情報収集に基づき特定された重点領域は以下の通りである：効果的なイベント記録の実施、レガシーITリスクの管理、サイバーサプライチェーンリスクの監督、ポスト量子暗号への備え。
We encourage directors to read these questions in conjunction with the Cyber Security Governance Principles (Version 2) and Governing Through a Cyber Crisis publications. These publications provide an overview of the core principles of effective cyber security governance, including allocating roles and responsibilities and preparing for significant cyber and data incidents.	取締役は、これらの質問を「サイバーセキュリティガバナンス原則（第2版）」および「サイバー危機におけるガバナンス」の刊行物と併せて読むことを推奨する。これらの刊行物は、役割と責任の割り当てや重大なサイバー・データインシデントへの備えを含む、効果的なサイバーセキュリティガバナンスの中核原則の概要を提供している。

 

● Australian Signals Directorate

・2025.10.30 Cyber security priorities for boards of directors 2025-26

Cyber security priorities for boards of directors 2025-26	取締役会におけるサイバーセキュリティの優先事項 2025-26
Introduction	序論
The Australian Signals Directorate (ASD) prevents, disrupts and responds to attacks against Australian organisations every day. Understanding and managing cyber security risks, as with other business risks, is a key responsibility in protecting your organisation, shareholders and customers.	オーストラリア信号局（ASD）は、日々オーストラリアの組織に対する攻撃を防止し、妨害し、対応している。他の事業リスクと同様に、サイバーセキュリティリスクを理解し管理することは、組織、株主、顧客を保護する上での重要な責任である。
The Australian Institute of Company Directors (AICD) mission is to be the independent and trusted voice of governance, building the capability of a community of leaders for the benefit of Australian society. In recent years. The AICD has had a significant focus on educating directors on better practice cyber security and data governance through guidance and education activities.	オーストラリア会社取締役協会（AICD）の使命は、ガバナンスにおける独立かつ信頼される声となり、オーストラリア社会のためにリーダーのコミュニティの能力を構築することである。近年、AICDはガイダンスや教育活動を通じて、取締役に対し優れた実践的なサイバーセキュリティとデータガバナンスを教育することに重点を置いてきた。
Should we be worried about cyber security?	サイバーセキュリティを懸念すべきか？
Today, Australia faces a heightened global cyber threat environment, driven by geopolitical tensions in the Middle East, Ukraine and the Indo-Pacific. Recent global events have shown that organisations must be prepared for state-based actors pre-positioning for disruptive attacks against critical infrastructure and services.	今日、オーストラリアは中東、ウクライナ、インド太平洋地域における地政学的緊張に起因する、世界的なサイバー脅威環境の悪化に直面している。最近の国際情勢は、組織が国家支援アクターが重要インフラやサービスに対する破壊的攻撃を事前に準備している事態に備えねばならないことを示している。
Australia has also endured a number of serious data breaches, compromising organisations and impacting customer trust, the cost of which cannot be understated. Unfortunately, trends are worsening. Malicious actors continue to target Australian organisations of all types and sizes. Espionage, enabled by technology advancements, cost Australia $12.5 billion in FY23–24. Cybercrime costs are also rising across all organisation types and sizes, with a sharp increase for large enterprises.	オーストラリアではまた、組織を危険に晒し顧客の信頼を損なう深刻なデータ侵害が相次いで発生しており、そのコストは過小評価できない。残念ながら、この傾向は悪化している。悪意ある主体は、あらゆる種類・規模のオーストラリア組織を標的とし続けている。技術進歩によって可能となったスパイ活動は、2023-24会計年度にオーストラリアに125億ドルの損害をもたらした。サイバー犯罪による損害も、あらゆる組織タイプ・規模で増加しており、特に大エンタープライズでは急増している。
Where should the focus be in 2025-26?	2025-26年度、焦点はどこに置くべきか？
Boards of directors (boards) play a critical role in overseeing how their organisations maintain and build cyber security capabilities, and in responding to existing and emerging cyber threats.	取締役会（ボード）は、組織がサイバーセキュリティ能力を維持・構築する方法の監督、および既存・新興のサイバー脅威への対応において重要な役割を担う。
In 2025-26, we encourage a focus by boards on the following areas:	2025-26年度、取締役会は以下の領域に焦点を当てることを推奨する：
・Understanding whether technology used or provided to your customers is secure by design and secure by default. These security principles and practices are critical for building modern defensible architectures.	・顧客に提供または使用される技術が「設計段階から安全（Secure by Design）」かつ「デフォルトで安全（Secure by Default）」であるか理解すること。これらのセキュリティ原則と実践は、現代的な防御可能なアーキテクチャ構築に不可欠である。
・Prioritising the defence of your organisation’s most critical assets. Your organisations should operate with a mindset of ‘assume compromise’ and consider which assets or ‘crown jewels’ need the most protection.	・組織の最も重要な資産の防御を優先すること。組織は「侵害を前提とする」姿勢で運営し、どの資産や「最重要資産」が最も保護を必要とするかを検討すべきだ。
Your organisation’s ability to defend and respond can be further enhanced through implementing better practice event logging and threat detection measures, replacing legacy information technology (IT), effectively managing third-party risks, and beginning your post-quantum cryptography transition. However, we cannot forget, nor neglect, the basics. This includes keeping all devices updated and enabling multi-factor authentication, especially for any public-facing services. These heightened areas of focus are in addition to a board’s core elements of effective cyber security, for instance, comprehensive cyber security incident planning and promoting a strong cyber security culture within their organisation.	優れたイベント記録と脅威検知対策の実施、レガシーITの置き換え、サードパーティリスクの効果的な管理、ポスト量子暗号への移行開始を通じて、組織の防御・対応能力はさらに強化できる。しかし、基本を忘れてはならず、また軽視してもならない。これには、すべてのデバイスを最新の状態に保ち、特に一般向けサービスについては多要素認証を有効にすることが含まれる。これらの重点分野は、包括的なサイバーセキュリティインシデント計画や組織内の強力なサイバーセキュリティ文化の促進など、取締役会による効果的なサイバーセキュリティの核心要素に追加されるものである。
What good cyber security governance look likes in 2025-26	2025年から2026年における優れたサイバーセキュリティガバナンスのあり方
The following advice outlines questions boards can ask of management and their organisation to understand its cyber security posture in the 2025-26 cyber threat environment. These questions should be read in conjunction with the AICD and the Cyber Security Cooperative Research Centre’s Cyber Security Governance Principles | Version 2 and Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors publications. These publications provide an overview of the core principles of effective cyber security governance, including allocating roles and responsibilities and overseeing an effective cyber security strategy.	以下のアドバイスは、2025年から2026年のサイバー脅威環境におけるサイバーセキュリティの態勢を理解するために、取締役会が経営陣や組織に尋ねることができる質問の概要である。これらの質問は、AICD およびサイバーセキュリティ共同研究センターの「サイバーセキュリティガバナンス原則 | バージョン 2」および「サイバー危機を乗り切る - オーストラリアの取締役のためのサイバーインシデント対応と復旧」の出版物と併せて読むべきである。これらの出版物は、役割と責任の割り当て、効果的なサイバーセキュリティ戦略の監督など、効果的なサイバーセキュリティガバナンスの核心的な原則の概要を提示している。
Taken together, the questions in this publication, and the AICD’s cyber security governance guidance, represent a proactive approach to building cyber security capability in the current cyber threat environment.	この出版物の質問と AICD のサイバーセキュリティガバナンスガイダンスを総合すると、現在のサイバー脅威環境においてサイバーセキュリティ能力を構築するための積極的なアプローチが示されている。
The questions in this publication are divided into two categories:	本出版物の質問は、2 つのカテゴリーに分類される。
・threshold governance questions that assist in determining the cyber security posture of organisations, given the 2025-26 cyber threat environment.	・2025 年から 2026 年のサイバー脅威環境を踏まえ、組織のサイバーセキュリティ態勢の決定に役立つ、しきい値ガバナンスに関する質問。
・supplementary technical questions to understand in greater detail the cyber security controls in place within organisations. These questions may assist directors of a risk or technology committee engage on key controls with senior management, by way of example.	・組織内で実施されているサイバーセキュリティ対策をより詳細に理解するための、補足的な技術的な質問。これらの質問は、例えば、リスク委員会や技術委員会の取締役が、上級管理職と主要な対策について協議する上で役立つかもしれない。
We recognise that for many organisations, particularly small-to-medium enterprises and not-for-profits, it may not be possible to implement all the advice within this publication. However, this advice still enables the board for such entities to ask questions to understand their organisation’s existing cyber security posture and identify areas for improvement.	多くの組織、特に中小企業や非営利団体にとって、本出版物の助言を全て実施することは困難かもしれない。しかし、これらの助言は、そのような事業体の取締役会が自組織の既存のサイバーセキュリティ態勢を理解し、改善すべき領域を識別するための質問を投げかけることを可能にする。
ASD provides cyber security advice specifically written for small business.	ASDは中小企業向けに特別に作成されたサイバーセキュリティ助言を提供している。
The AICD CSCRC Cyber Security Principles also has a dedicated snapshot for directors of smaller organisations.	AICD CSCRCサイバーセキュリティ原則には、小規模組織の取締役向けに特化した概要も存在する。
Contact details	連絡先
If you have any questions regarding this guidance you can write to us or call us on 1300 CYBER1 (1300 292 371).	本ガイダンスに関する質問がある場合は、書面または電話（1300 CYBER1：1300 292 371）にて問い合わせ可能である。
Does your organisation have event logging and threat detection?	貴組織はイベント記録と脅威検知を実施しているか？
The board should understand whether there is an enterprise wide-approach to event logging and threat detection. A rigorous approach to threat detection will improve your organisation’s chances of detecting malicious behaviour within your IT environment.	取締役会は、イベント記録と脅威検知に対するエンタープライズな取り組みの有無を把握すべきである。脅威検知に対する厳格なアプローチは、IT環境内の悪意ある行為の検知を可能にする組織の確率を高める。
In implementing cyber security measures, including event logging and threat detection measures, the board should have visibility of shared responsibilities between service providers and their organisation.	イベントログ記録や脅威検知を含むサイバーセキュリティ対策を実施する際、取締役会はサービスプロバイダと自社組織間の責任分担を可視化すべきである。
ASD provides advice for executives to assist with implementing event logging and threat detection.	ASDは、イベントログ記録と脅威検知の実施を支援するため、経営幹部向けの助言を提供している。
Threshold governance questions	閾値ガバナンスに関する質問
Have we established an event logging policy that includes event log retention, access and review procedures?	イベントログの保存期間、アクセス、レビュー手順を含むイベントログ記録ポリシーを確立しているか？
Have we defined event logging and monitoring responsibilities across teams?	チーム横断的なイベントログ記録・監視責任を定義しているか？
Have we identified all critical systems, applications and devices that require event logging?	イベントログ記録が必要な全ての重要システム、アプリケーション、デバイスを識別しているか？
Supplementary technical questions	補足的な技術的質問
Event logging processes and coverage	イベントログ記録プロセスと対象範囲
Do our cyber security activities align with ASD’s event logging and threat detection guidance?	自社のサイバーセキュリティ活動はASDのイベントログ記録・脅威検知ガイダンスに沿っているか？
Do we collect event logs from network devices, security appliances, operating systems, applications, databases and cloud services?	ネットワーク機器、セキュリティアプライアンス、OS、アプリケーション、データベース、クラウドサービスからイベントログを収集しているか？
Event log configuration and quality	イベントログの設定と品質
Do we configure event logs to capture sufficient detail?	十分な詳細情報を取得するようイベントログを設定しているか？
Do we ensure event logs are time-synchronised across our organisation?	組織全体でイベントログの時間同期を確保しているか？
Do we avoid collecting excessive or irrelevant event logs?	過剰または無関係なイベントログの収集を回避しているか？
Centralised event log management	集中型イベントログ管理
Do we forward event logs to a centralised event logging system?	イベントログを集中型イベントログシステムに転送しているか？
Do we ensure event logs are securely transmitted and stored?	イベントログの安全な伝送と保存を確保しているか？
Do we implement access controls to protect the integrity and confidentiality of event logs?	イベントログの完全性と機密性を防御するアクセス管理を実施しているか？
Threat detection capabilities	脅威検知能力
Do we define and implement detection rules for known cyber threats and anomalies?	既知のサイバー脅威や異常に対する検知ルールを定義し実装しているか？
Do we use threat intelligence feeds to enhance detection rules?	脅威インテリジェンスフィードを活用して検知ルールを強化しているか？
Do we monitor for indicators of compromise and suspicious behaviour?	侵害の兆候や不審な行動を監視しているか？
Alerting and response	アラートと対応
Do we configure alerts for high-risk events	高リスクイベントに対するアラートを設定しているか？
Do we ensure alerts are actionable and routed to appropriate teams?	アラートが実行可能であり、適切なチームにルーティングされることを保証しているか？
Do we integrate alerts into cyber security incident response workflows?	アラートをサイバーセキュリティインシデント対応ワークフローに統合しているか？
Event log analysis	イベントログ分析
Do we conduct regular reviews of event logs for signs of compromise?	侵害の兆候を調べるため、イベントログを定期的にレビューしているか？
Do we use automated tools to correlate events and detect patterns?	イベントを相関分析しパターンを検知する自動化ツールを使用しているか？
Do we performed retrospective analysis after cyber security incidents?	サイバーセキュリティインシデント発生後に事後分析を実施しているか？
Retention and compliance	保持とコンプライアンス
Do we retain event logs for a period consistent with legal and regulatory requirements?	法的・規制要件に沿った期間、イベントログを保持しているか？
Do we ensure event logs are made available for forensic investigations and audits?	フォレンジック調査や監査のためにイベントログが利用可能であることを保証しているか？
Do we have documented event log retention policies?	文書化されたイベントログ保持ポリシーがあるか？
How does your organisation manage legacy information technology?	貴組織はレガシーITをどのように管理しているか？
Legacy IT presents significant and enduring risks to the cyber security posture of your organisation. The board should be aware that weak cyber security measures for legacy IT can increase the likelihood of a cyber security incident, and make any cyber security incident that does occur more impactful.	レガシーITは組織のサイバーセキュリティ態勢に対し、重大かつ持続的なリスクをもたらす。取締役会は、レガシーITに対する脆弱なセキュリティ対策がインシデント発生確率を高め、発生時の影響を拡大させることを認識すべきである。
The most effective method to mitigate the cyber security risk posed by legacy IT is to replace it before it becomes unsupported. Retaining legacy IT within your organisation’s IT environment, especially where adequate compensating measures have not been applied, also presents significant business risks. These include the costs involved in remediating the consequences following a cyber security incident, systems being taken offline, service delivery being disrupted, loss of productivity, potential leakage or loss of data, and loss of public confidence in your organisation.	レガシーITがサポート終了状態になる前に置き換えることが、サイバーセキュリティリスクの緩和につながる最も効果的な方法である。特に適切な補償措置が講じられていない場合、組織のIT環境内にレガシーITを保持することは、重大なビジネスリスクも伴う。これには、サイバーセキュリティインシデント発生後の影響修復コスト、システムの停止、サービス提供の混乱、生産性の低下、データの漏洩・喪失の可能性、組織に対する公衆の信頼喪失などが含まれる。
ASD provides advice for executives to assist with legacy IT management.	ASDは、経営幹部がレガシーIT管理を支援するための助言を提供している。
Threshold governance questions	閾値ガバナンスに関する質問
Have we identified and documented all legacy IT in use?	使用中のレガシーITを全て識別し文書化しているか？
Have we assigned risk ownership responsibility for each piece of legacy IT?	各レガシーITに対するリスク所有責任を割り振っているか？
Have we established a legacy IT risk management strategy aligning with ASD’s guidance?	ASDのガイダンスに沿ったレガシーITリスクマネジメント戦略を確立しているか？
Have we assessed each piece of legacy IT for security vulnerabilities, operational dependencies and business criticality	各レガシーITについて、セキュリティ脆弱性・運用依存関係・業務重要性を評価しているか？
Have we categorised each piece of legacy IT based on risk exposure and impact?	リスクエクスポージャーと影響度に基づき各レガシーITを分類しているか？
Supplementary technical questions	補足的な技術的質問
Compensating measures	補償措置
Do we have compensating measures for when patching legacy IT is not possible?	レガシーITへのパッチ適用が不可能な場合の補償措置は存在するか？
Do we document, and regularly review, compensating measures for their effectiveness?	補償措置の有効性について文書化し、定期的に見直しているか？
Access controls	アクセス制御
Do we restrict access to legacy IT to only those who need it?	レガシーITへのアクセスを必要な者にのみ制限しているか？
Do we log all access to legacy IT?	レガシーITへの全アクセスをログ記録しているか？
Monitoring and incident response	監視とインシデント対応
Do we include legacy IT in our security monitoring and alerting activities?	セキュリティ監視およびアラート活動にレガシーITを含めているか？
Do our cyber security incident response plans account for legacy IT?	サイバーセキュリティインシデント対応計画はレガシーITを考慮しているか？
Do we conduct testing of cyber security incident response playbooks involving legacy IT?	レガシーITを想定したサイバーセキュリティインシデント対応プレイブックのテストを実施しているか？
Vendor support considerations	ベンダーサポートに関する考慮事項
Do we regularly scan for legacy IT that is no longer supported by vendors?	ベンダーによるサポートが終了したレガシーITを定期的にスキャンしているか？
Do we engage vendors for extended support or security advisories if available?	延長サポートやセキュリティアドバイザリが利用可能な場合、ベンダーと連携しているか？
Do we document end of life timelines and vendor support gaps?	サポート終了時期とベンダーサポートの空白期間を文書化しているか？
Transition and decommissioning plans	移行および廃止計画
Do processes for secure data mitigation from legacy IT exist?	レガシーITからの安全なデータ緩和プロセスは存在するか？
Do we maintain a roadmap for replacing or retiring legacy IT?	レガシーITの置換または廃止に向けたロードマップを維持しているか？
Do we prioritise decommissioning legacy IT based on risk and business impact?	リスクと事業影響に基づきレガシーITの廃止を優先しているか？
How does your organisation manage its cyber supply chain risk?	貴組織はサイバーサプライチェーンリスクをどのように管理しているか？
The board should have oversight of how cyber security risk is managed in the cyber supply chain. Suppliers, manufacturers, distributors and retailers involved in products or services used by your organisation will present a cyber supply chain risk for your businesses. Likewise, you will present a cyber supply chain risk to your customers.	取締役会はサイバーサプライチェーンにおけるサイバーセキュリティリスクマネジメントを監督すべきである。貴組織が利用する製品・サービスに関わる供給業者、製造事業者、頒布事業者、小売業者は、貴事業にとってサイバーサプライチェーンリスクとなる。同様に、貴組織も顧客にとってサイバーサプライチェーンリスクとなる。
For Australian Prudential Regulation Authority regulated entities, there are specific obligations set out in prudential standards on the oversight of suppliers and the Security of Critical Infrastructure Act 2018 has obligations that extend across various participants in the critical asset supply chain.	オーストラリア金融規制庁（APRA）の規制対象事業体については、サプライヤーの監督に関する監督標準に特定の義務が定められており、2018年重要インフラセキュリティ法は重要資産サプライチェーンの様々な参加者に義務を課している。
Effective cyber supply chain risk management ensures, as much as possible, the secure supply of products and services throughout their lifetime. This includes their design, manufacture, delivery, maintenance, decommissioning and disposal. Cyber supply chain risk management should form a significant component of your organisation’s overall cyber security strategy.	効果的なサイバーサプライチェーンリスクマネジメントは、製品やサービスのライフサイクル全体（設計、製造事業者、納入、保守、廃止、廃棄を含む）において、可能な限り安全な供給を確保するものである。サイバーサプライチェーンリスクマネジメントは、組織全体のサイバーセキュリティ戦略において重要な構成要素となるべきだ。
ASD provides advice for executives to assist with cyber supply chain risk management.	ASDは、経営陣がサイバーサプライチェーンリスクマネジメントを支援するための助言を提供している。
Threshold governance questions	閾値ガバナンス質問
Have we developed a cyber supply chain risk management policy?	サイバーサプライチェーンリスクマネジメントポリシーを策定したか？
Have we assigned ownership for cyber supply chain risk across procurement, legal and cyber security teams?	調達、法務、サイバーセキュリティ各チームにサイバーサプライチェーンリスクの責任を割り当てたか？
Have we identified all suppliers with access to our systems and data?	自社のシステムやデータにアクセス可能な全サプライヤーを識別したか？
Have we categorised suppliers by criticality and risk exposure?	サプライヤーを重要度とリスクエクスポージャーで分類したか？
Have we assessed suppliers’ cyber security posture using assessments or certifications?	サプライヤーのサイバーセキュリティ態勢をアセスメントや認証を用いて評価したか？
Supplementary technical questions	補足的な技術的質問
Contractual measures	契約上の措置
Do we include cyber security requirements in contracts and service level agreements?	契約やサービスレベル契約にサイバーセキュリティ要件を含めているか？
Do we require suppliers to notify us of breaches, security vulnerabilities or changes in risk?	サプライヤーに侵害、セキュリティ脆弱性、リスク変化の通知を義務付けているか？
Do we require compliance with ASD’s Information security manual (ISM)?	ASDの情報セキュリティマニュアル（ISM）への準拠を要求しているか？
Due diligence	デューデリジェンス
Do we conduct cyber supply chain risk assessments before onboarding suppliers?	サプライヤーの採用前にサイバーサプライチェーンリスク評価を実施しているか？
Do we verify supplier cyber security measures and cyber security incident response capabilities?	サプライヤーのサイバーセキュリティ対策とインシデント対応能力を検証しているか？
Do we ensure suppliers understand and agree to our cyber security expectations?	サプライヤーが自社のサイバーセキュリティ要件を理解し同意していることを確認しているか？
Ongoing monitoring and review	継続的監視とレビュー
Do we monitor supplier performance and compliance with cyber security obligations?	サプライヤーのパフォーマンスとサイバーセキュリティ義務の遵守状況を監視しているか？
Do we review supplier risk profiles periodically?	サプライヤーのリスクプロファイルを定期的に見直しているか？
Do we track and respond to emerging cyber threats affecting our cyber supply chain?	自社のサイバーサプライチェーンに影響する新たなサイバー脅威を追跡し対応しているか？
Third-party access management	サードパーティアクセス管理
Do we limit supplier access to only necessary systems and data?	サプライヤーのアクセスを必要なシステムとデータのみに制限しているか？
Do we implement cyber security measures, such as network segmentation and multi-factor authentication, for supplier access to our systems?	サプライヤーが自社システムにアクセスする際、ネットワークセグメンテーションや多要素認証などのサイバーセキュリティ対策を実装しているか？
Do we monitor and log supplier access to our systems?	サプライヤーの自社システムへのアクセスを監視・記録しているか？
Cyber security incident response and resilience	サイバーセキュリティインシデント対応とレジリエンシー
Do we include cyber supply chain compromise scenarios in our cyber security incident response planning?	サイバーセキュリティインシデント対応計画に、サイバーサプライチェーン侵害シナリオを含めているか？
Do we ensure suppliers have their own cyber security incident response plans and reporting mechanisms?	サプライヤーが独自のサイバーセキュリティインシデント対応計画と報告メカニズムを有していることを確認しているか？
Do we establish communication protocols with suppliers for coordinated responses to cyber supply chain compromises?	サイバーサプライチェーン侵害への協調的対応のため、サプライヤーとの連絡手順を確立しているか？
Does your organisation have a post-quantum cryptography transition plan?	貴組織は耐量子暗号移行計画を有しているか？
The board should be aware that in the near future cryptographically relevant quantum computers will render most contemporary cryptography insecure. This will result in existing secure communications based on current cryptography technology becoming vulnerable to compromise.	取締役会は、近い将来に暗号学的に有効な量子コンピュータが登場し、現代の暗号技術のほとんどが安全でなくなることを認識すべきである。これにより、現行の暗号技術に基づく既存の安全な通信が脆弱性を持つようになる。
As the creation of a cryptographically relevant quantum computer presents new cyber security risks, the board should oversee steps to anticipate future business requirements and dependencies for vulnerable systems during the transition period to post-quantum cryptography standards.	暗号学的に有効な量子コンピュータの出現が新たなサイバーセキュリティリスクをもたらすため、取締役会はポスト量子暗号標準への移行期間中、脆弱なシステムに対する将来の業務要件と依存関係を予測する措置を監督すべきである。
ASD provides advice for executives to assist with the post-quantum cryptography transition.	ASDはポスト量子暗号移行を支援するため、経営幹部向けの助言を提供している。
Threshold governance questions	閾値ガバナンス質問
Have we acknowledged the long-term impact of quantum computing?	量子コンピューティングの長期的な影響を認識しているか？
Have we assessed the potential impact of quantum threats to our systems and data?	量子脅威がシステムとデータに及ぼす潜在的影響を評価したか？
Have we established a post-quantum cryptography transition plan?	耐量子暗号移行計画は策定済みか？
Have we assigned executive and senior management responsibilities for post-quantum cryptography transition planning and readiness?	耐量子暗号移行計画と準備態勢に関する経営陣および上級管理職の責任分担は明確化されているか？
Supplementary technical questions	補足技術的質問
Cryptographic inventory	暗号技術インベントリ
Do we document where cryptography is implemented within our organisation?	組織内で暗号技術が実装されている箇所を文書化しているか？
Do we have an inventory of the cryptographic algorithms, protocols and libraries we use?	使用する暗号アルゴリズム、プロトコル、ライブラリのインベントリは存在するか？
Do we track and record our dependencies on vulnerable cryptographic algorithms?	脆弱な暗号アルゴリズムへの依存関係を追跡・記録しているか？
Vendor and supply chain engagement	ベンダーおよびサプライチェーンとの連携
Do we regularly engage with vendors to understand their post-quantum cryptography transition plans and readiness?	ベンダーと定期的に連携し、ポスト量子暗号への移行計画と準備状況を把握しているか？
Do we require vendors to disclose cryptographic dependencies and upgrade timelines?	ベンダーに対し、暗号依存関係とアップグレードのタイムラインを開示するよう要求しているか？
Do we include post-quantum cryptography considerations in our procurement and contract negotiations with vendors?	ベンダーとの調達および契約交渉において、ポスト量子暗号に関する考慮事項を含めているか？
Transition planning	移行計画
Do we monitor ASD’s advice on planning for post-quantum cryptography?	ポスト量子暗号計画に関するASDの助言を監視しているか？
Do we have a roadmap for migration to quantum-resistant algorithms?	量子耐性アルゴリズムへの移行ロードマップを有しているか？
Testing and validation	テストと妥当性確認
Do we first test quantum-resistant algorithms in non-production environments?	量子耐性アルゴリズムをまず非本番環境でテストしているか？
Do we evaluate performance, interoperability and the security of quantum-resistant algorithms?	量子耐性アルゴリズムの性能、相互運用性、セキュリティを評価しているか？
Policy and compliance	ポリシーとコンプライアンス
Do we have updated cryptography policies that include post-quantum cryptography considerations?	ポスト量子暗号を考慮した更新された暗号ポリシーがあるか？
Do we comply with ASD’s post-quantum cryptography standards?	ASDの耐量子暗号標準に準拠しているか？
Do we track regulatory developments related to post-quantum cryptography?	ポスト量子暗号に関連する規制動向を追跡しているか？

 

 

 

---

 

● Australian Institute of Company Directors

・[PDF] Cyber security priorities for boards in 2025-26 

 

 

 

---

 

 

● Australian Institute of Company Directors

・2024.11.25 Cyber Security Governance Principles | Version 2

Cyber Security Governance Principles | Version 2	サイバーセキュリティガバナンス原則｜バージョン2
Version 2 reflects developments in cyber security governance and emerging cyber threats since the Principles initial release in 2022.	バージョン2は、2022年の原則初版発表以降、サイバーセキュリティガバナンスの進展と新たなサイバー脅威を反映している。
Cyber threats are a critical risk for organisations of all sizes. With digital driven strategies, evolving regulation, and increasingly sophisticated cybercrime, cyber security remains a top board priority.	サイバー脅威は、あらゆる規模の組織にとって重大なリスクである。デジタル主導の戦略、進化する規制、高度化するサイバー犯罪により、サイバーセキュリティは引き続き取締役会の最優先課題だ。
Since 2022, the AICD and CSCRC’s Cyber Security Governance Principles (Principles) have set the standard for cyber governance in Australia. They offer a framework for better practice, enhanced resilience, and proactive board oversight.	2022年以降、AICD（オーストラリア会社取締役協会）とCSCRC（サイバーセキュリティ規制・協力センター）の「サイバーセキュリティガバナンス原則」（原則）は、オーストラリアにおけるサイバーガバナンスの標準を定めてきた。これらは、より良い実践、レジリエンスの強化、そして取締役会による積極的な監督のための枠組みを提供する。
This Version 2 covers emerging issues such as digital supply chain risks, data governance and effective cyber incident response and recovery. The Principles feature case studies from corporate leaders including former Telstra CEO, Andy Penn AO and Ventia Services Group Chair, David Moffatt MAICD, along with insights from recent major cyber security incidents. To support directors, the Principles provide practical tools, including tailored questions, governance red flags, and checklists for NFPs and SMEs, helping boards strengthen cyber resilience, improve risk controls, and oversee supplier relationships effectively.	このバージョン2は、デジタルサプライチェーンリスク、データガバナンス、効果的なサイバーインシデント対応と復旧といった新たな課題を取り上げている。原則には、元テルストラCEOアンディ・ペンAOやベンティア・サービス・グループ会長デイビッド・モファットMAICDら企業リーダーの事例研究に加え、最近の重大サイバーセキュリティインシデントからの知見が掲載されている。取締役を支援するため、原則では実践的なツールを提供している。これには、NFP（非営利法人）や中小企業向けの特化型質問、ガバナンス上の危険信号、チェックリストが含まれ、取締役会がサイバーレジリエンシーを強化し、リスク管理を改善し、サプライヤー関係を効果的に監督するのに役立つ。
Download the media release	プレスリリースをダウンロード
Watch the webinar recording	ウェビナー録画を視聴
Watch the expert panel discussion with David Moffatt MAICD, Victoria Weekes FAICD, Rachael Falk MAICD and Christian Gergis GAICD as they unpack the latest updates to the Cyber Security Governance Principles.	デイビッド・モファット MAICD、ビクトリア・ウィークス FAICD、レイチェル・フォーク MAICD、クリスチャン・ガーギス GAICDによる専門家パネルディスカッションを視聴し、サイバーセキュリティガバナンス原則の最新更新内容を解き明かす。
Video	ビデオ

・THE PRINCIPLES 

 

・SNAPSHOT OF THE PRINCIPLES 

A Concise Snapshot	簡潔な概要
Cyber Security Governance Principle	サイバーセキュリティガバナンス原則
PRINCIPLE 1: Set clear roles and responsibilities	原則1：明確な役割と責任を設定する
KEY POINTS	主なポイント
1. Defining clear roles and responsibilities is a foundational component of building effective cyber resilience	1. 明確な役割と責任の定義は、効果的なサイバーレジリエンス構築の基盤となる要素である
2. Comprehensive and clear board reporting, including engagement with management and updates on emerging trends, is a key mechanism by which a board can assess the resilience of the organisation	2. 経営陣との連携や新たな動向に関する更新情報を含む、包括的かつ明確な取締役会への報告は、取締役会が組織のレジリエンスを評価する主要な手段である
3. External experts can play a role in providing advice and assurance to directors and identify areas for improvement	3. 外部専門家は取締役への助言・保証提供や改善領域の識別において役割を果たし得る
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Cyber risk and cyber strategy not featuring regularly on board agendas	1. サイバーリスクとサイバー戦略が取締役会議題に定期的に登場しない
2. Board not annually reviewing skills to ensure that directors have a minimum understanding of cyber security risk	2. 取締役がサイバーセキュリティリスクの最低限の理解を有していることを確認するための年次スキル見直しを実施していない
3. Board reporting on cyber risk is hard to digest and features excessive jargon with a reliance on technical solutions	3. サイバーリスクに関する取締役会報告が理解しにくく、専門用語が過剰で技術的解決策への依存が目立つ
4. Limited or no external review or assurance of cyber risk controls and strategy	4. サイバーリスク管理策と戦略に対する外部レビューや保証が限定的、あるいは存在しない
5. No clear lines of management responsibility for	5. サイバーリスク管理における明確な管理責任ラインが設定されていない
PRINCIPLE 2: Develop, implement and evolve a comprehensive cyber strategy	原則2：包括的なサイバー戦略を策定・実施・進化させる
KEY POINTS	重要ポイント
1. A cyber strategy, proactively overseen by the board, can be a business enabler by identifying opportunities for the organisation to build cyber resilience	1. 取締役会が積極的に監督するサイバー戦略は、組織のサイバーレジリエンス構築機会を特定することでビジネス推進要因となり得る
2. Identifying the key digital assets and data of an organisation, including who has access to these assets, is core to understanding and enhancing cyber capability	2. 組織の主要なデジタル資産とデータ、およびそれらへのアクセス権限者を識別することは、サイバー能力の理解と強化の核心である
3. A robust cyber strategy will account for the importance, and potential risks, associated with key third-party suppliers	3. 堅牢なサイバー戦略は、主要なサードパーティサプライヤーに関連する重要性と潜在リスクを考慮に入れる
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Lack of formal documentation of the organisation’s approach to cyber security	1. 組織のサイバーセキュリティへの取り組みを正式に文書化していない
2. Limited understanding of the location of key digital assets and data, who has access and how they are protected	2. 主要なデジタル資産やデータの所在、アクセス権限者、防御方法に関する理解が不十分であること
3. The cyber strategy and risk controls are not subject to internal and external evaluation and periodic refinement relative to evolving threats	3. サイバー戦略とリスクマネジメント策が、進化する脅威に対して内部・外部評価や定期的な見直しを受けていないこと
4. Lack of data governance framework to guide how data is collected, held, protected and ultimately destroyed	4. データの収集・保管・防御・最終的な廃棄方法を規定するデータガバナンス枠組みが欠如していること
PRINCIPLE 3: Embed cyber security in existing risk management practices	原則3：既存のリスクマネジメント手法にサイバーセキュリティを組み込む
KEY POINTS	主なポイント
1. Cyber risk is still an operational risk that fits within an organisation’s existing approach to risk management	1. サイバーリスクは依然として運用リスクであり、組織の既存リスクマネジメントアプローチに組み込める
2. While cyber risk cannot be reduced to zero there are a number of accessible and low-cost controls that all organisations can utilise to mitigate the risk	2. サイバーリスクをゼロにすることは不可能だが、全ての組織がリスク緩和に活用できる、入手容易で低コストの管理策が複数存在する
3. The board should regularly assess the effectiveness of cyber controls to account for a changing threat environment, technological developments and the organisation’s capabilities	3. 取締役会は、変化する脅威環境、技術発展、組織の能力を考慮し、サイバー管理策の有効性を定期的に評価すべきである
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Cyber risk and cyber strategy not reflected in existing risk management frameworks	1. 既存のリスクマネジメント枠組みにサイバーリスクとサイバー戦略が反映されていない
2. High management confidence that cyber risk controls are effective without regular external validation	2. 定期的な外部妥当性確認なしに、サイバーリスク管理策が有効であると経営陣が過信している
3. Over reliance on the cyber security controls of key service providers, such as cloud software providers	3. クラウドソフトウェアプロバイダなど主要サービス提供者のサイバーセキュリティ管理策への過度の依存
4. Cyber security controls and processes of potential vendors are not assessed in the procurement process for key goods and services 5. Prolonged vacancies in key cyber management roles	4. 主要な物品・サービスの調達プロセスにおいて、潜在的なベンダーのサイバーセキュリティ管理策とプロセスが評価されていない5. 主要なサイバー管理職の長期空席
PRINCIPLE 4: Promote a culture of cyber resilience	原則4：サイバーレジリエンスの文化を促進する
KEY POINTS	重要ポイント
1. A truly cyber resilient culture begins at the board and must flow through the organisation and extend to key suppliers	1. 真のサイバーレジリエント文化は取締役会から始まり、組織全体に浸透し主要サプライヤーにまで拡大される必要がある
2. Regular, engaging and relevant training is a key tool to promote a cyber resilient culture, including specific training for directors	2. 定期的かつ参加型で関連性の高い研修は、取締役向けの特定研修を含め、サイバーレジリエント文化を促進する重要な手段である
3. Incentivise and promote strong cyber security practices, including participating in phishing testing and penetration exercises	3. フィッシングテストやペネトレーションテストへの参加を含む、強固なサイバーセキュリティ実践を奨励・推進する
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. Board and executives do not undertake cyber security education nor participate in testing	1. 取締役会と経営陣がサイバーセキュリティ教育を受けず、テストにも参加しない
2. Cyber security is not reflected in the role statements and KPIs of key leaders	2. 主要リーダーの職務記述書やKPIにサイバーセキュリティが反映されていない
3. Communication from leaders does not reinforce the importance of cyber resilience to staff (cyber is seen as an issue only for frontline staff to manage)	3. リーダーからのコミュニケーションが従業員へのサイバーレジリエンシー重要性を強化していない（サイバーは現場スタッフのみが管理すべき問題と見なされている）
4. There is a culture of ‘exceptions’ or workarounds for board and management with respect to cyber hygiene and resilience	4. 取締役会と管理職に対して、サイバー衛生とレジリエンシーに関して「例外」や回避策の文化が存在する
PRINCIPLE 5: Plan for a significant cyber security incident	原則5：重大なサイバーセキュリティインシデントへの計画
KEY POINTS	重要ポイント
1. Directors and management should proactively plan for a significant cyber incident	1. 取締役と管理職は重大なサイバーインシデントに備え、積極的に計画を立てるべきである
2. Simulation exercises and scenario testing are key tools for the board and senior management to understand and refine roles and responsibilities	2. シミュレーション演習とシナリオテストは、取締役会と上級管理職が役割と責任を理解し、改善するための重要なツールである
3. A clear and transparent approach to communications with key stakeholders in a significant cyber incident is critical in mitigating reputational damage and allowing for an effective recovery	3. 重大なサイバーインシデント発生時、主要な利害関係者とのコミュニケーションにおいて明確かつ透明性のあるアプローチは、評判の毀損の緩和および効果的な復旧を可能にする上で極めて重要である
GOVERNANCE RED FLAGS	ガバナンスの危険信号
1. The board and senior staff have not undertaken scenario testing or incident simulations to test the Response Plan	1. 取締役会と上級管理職が、対応計画を検証するためのシナリオテストやインシデントシミュレーションを実施していない
2. Likely scenarios and consequences are undocumented with lessons from simulations not being captured	2. 想定されるシナリオと結果が文書化されておらず、シミュレーションからの教訓も記録されていない
3. It is not clear how communications with key stakeholders will be managed in the event of an incident	3. インシデント発生時に主要ステークホルダーとのコミュニケーションをどう管理するかが不明確である
4. No post incident review with board and management	4. 取締役会と経営陣による事後検証が行われていない
Top 10 director questions	取締役が問うべきトップ10の質問
Roles and responsibilities	役割と責任
1. Does the board understand cyber risks well enough to oversee and challenge?	1. 取締役会はサイバーリスクを十分に理解し、監督と検証を行っているか？
2. Who has primary responsibility for cyber security in our management team?	2. 経営陣の中でサイバーセキュリティの主たる責任者は誰か？
Cyber strategy	サイバー戦略
3. Do we understand our current cyber security capability and have a plan to enhance this capability?	3. 現在のサイバーセキュリティ能力を理解し、これを強化する計画はあるか？
4. How does our approach to enhancing cyber security support our broader organisational strategy and strategic initiatives?	4. サイバーセキュリティ強化への取り組みは、組織全体の戦略や戦略的イニシアチブをどう支援するか？
Cyber security risk management	サイバーセキュリティリスクマネジメント
5. Where, and with whom, are our key digital assets and data located?	5. 主要なデジタル資産とデータは、どこに、誰と共有されているか？
6. How regularly does management present to the board or risk committee on the effectiveness of cyber risk controls?	6. 経営陣は、サイバーリスク管理の有効性について、どの程度の頻度で取締役会またはリスク委員会に報告しているか？
Cyber resilient culture	サイバーレジリエントな文化
7. Is cyber security training mandatory across the organisation and is it differentiated by area or role?	7. サイバーセキュリティ研修は組織全体で義務化されているか？また、部署や役職によって差別化されているか？
8. Does the board and senior management reinforce the importance of cyber security and collective responsibility?	8. 取締役会と上級管理職は、サイバーセキュリティの重要性と集団的責任を強調しているか？
Cyber incident planning	サイバーインシデント計画
9. Do we have a cyber incident response plan, including a comprehensive communications strategy, informed by simulation exercises and testing?	9. シミュレーション演習やテストに基づく包括的なコミュニケーション戦略を含む、サイバーインシデント対応計画は存在するのか？
10. Can we access external support if necessary to assist with a significant cyber security incident?	10. 重大なサイバーセキュリティインシデント発生時に、必要に応じて外部支援を利用できるのか？

 

 

 

 

・SME and NFP Director Checklist 

 

・2024.02.28 Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors

Governing Through a Cyber Crisis - Cyber Incident Response and Recovery for Australian Directors	サイバー危機を乗り切るガバナンス - オーストラリアの取締役のためのサイバーインシデント対応と復旧
Governing Through a Cyber Crisis provides a framework of better practice guidance to assist Australian directors to navigate critical cyber incidents at their organisations. The guidance was developed by the AICD in partnership with the Cyber Security Cooperative Research Centre (CSCRC) and Ashurst.	「サイバー危機を乗り切るガバナンス」は、オーストラリアの取締役が組織で発生した重大なサイバーインシデントに対処するための、より優れた実践ガイダンスの枠組みを提供する。このガイダンスは、AICD がサイバーセキュリティ共同研究センター（CSCRC）およびアッシュアストと提携して作成したものである。
In recent years Australia has seen a wave of prominent cyber security incidents. These incidents have resulted in significant disruption to business operations, the loss of customer data and damage to organisational reputation. The decision making of the board has also been publicly scrutinised.	近年、オーストラリアでは、顕著なサイバーセキュリティインシデントが相次いで発生している。これらのインシデントは、事業運営の大幅な混乱、顧客データの損失、組織の評判の低下をもたらしている。取締役会の意思決定も公に精査されている。
The guidance assists boards and directors with overseeing the effective response and recovery from a material cyber incident and emerge on the other side with a more cyber resilient organisation.	このガイダンスは、取締役会および取締役が、重大なサイバーインシデントに対する効果的な対応と復旧を監督し、よりサイバーレジリエントな組織として再生するのに役立つ。
The resource expands on existing guidance in the AICD CSCRC Cyber Security Governance Principles and has been informed by insight from senior Australian directors, cyber security advisors and government.	このリソースは、AICD CSCRC サイバーセキュリティガバナンス原則の既存のガイダンスを拡張したものであり、オーストラリアの上級取締役、サイバーセキュリティアドバイザー、政府からの知見が反映されている。
The accompanying Snapshot includes a checklist of practical steps for SME and NFP directors in responding to a critical cyber incident. The AICD, CSCRC and Ashurst are committed to updating the guidance as the cyber security threat and regulatory landscape evolves.	付属のスナップショットには、中小企業および非営利団体の取締役が重大なサイバーインシデントに対応するための実践的な手順のチェックリストが含まれている。AICD、CSCRC、アッシュアストは、サイバーセキュリティの脅威や規制環境の変化に応じて、このガイダンスの更新に取り組んでいる。
Download the media release	プレスリリースをダウンロード

 

・THE PUBLICATION 

 

 

・THE SNAPSHOT