サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、経済産業省と独立行政法人情報処理推進機構（IPA）とが策定した、サイバー攻撃から企業を守る理念や行動に関するガイドラインです。

ビジネスにおいてITの活用は収益向上に不可欠な反面、顧客の個人情報や技術情報を狙うサイバー攻撃が増加している状況です。サイバーセキュリティ経営ガイドラインでは、経営者を対象としたサイバーセキュリティ対策を重点的に策定しています。具体的な対策内容として、以下の項目を定めています。

経営者が認識すべき3原則
経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源（予算、人材等）確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
指示6 サイバーセキュリティ対策における PDCA サイクルの実施
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
引用：経済産業省・独立行政法人 情報処理推進機構

上記の内容は2017年改定のVer 2.0であり、サイバーセキュリティ経営の重要10項目で、5と8が新たに追加されました。その背景に、サイバー攻撃の手口の巧妙化、悪質化が関係しています。サイバー攻撃に気付かないケースも珍しくなく、ファイヤーウォールの入口対策では不十分な状況にあるためです。