サイバーセキュリティに役立つ経営者のためのガイドライン

制御システムに対するサイバー攻撃のリスクが高まる一方で、制御系システムの現場に触れて感じることは経営や現場のセキュリティ意識、管理体制や対策の成熟度は決して高くない現実である。重要インフラは事業の公共性が高いがゆえに、インシデント（事故につながる恐れのある事態）が社会に深刻な被害を与えるのではないかという不安と常に隣り合わせである。それが現実となったときにセキュリティの管理体制に疑義が生じれば、会社法の「内部統制システム構築義務」の観点から経営者の管理責任が厳しく問われかねない。例えば、リスクは認識していたがそれを過小評価していた、リスクレベルは認識していたがリスク対策を怠っていたというようなケースが考えられる。

そのような状況に陥ることがないよう、経営者がどのように考え何をなすべきかについて政府が参考となるガイドを公開している。内閣サイバーセキュリティセンター（NISC）が2016年に公開した「企業経営のためのサイバーセキュリティの考え方」では、コーポレートガバナンス（企業統治）の一環としてセキュリティ対策を講じるために、リスク分析、方針の策定、実施、評価、情報の開示、見直しという一連の仕組み、すなわちサイバーセキュリティのマネジメントシステムを確立する重要性を説いている。
また、経済産業省が公開している「サイバーセキュリティ経営ガイドライン」では、経営者がリーダーシップをとり、リスクの管理体制の構築と特定、対策の実装などの「サイバーセキュリティ経営の重要10項目」を推進するよう指示し、定期的に報告を受けることが重要であるとしている。

我々はこれまでNISCや情報処理推進機構（IPA）などが定めるフレームワークなどを踏まえ重要インフラ事業者のリスクアセスメント（評価）や管理体制の整備を支援してきた。そして、経営者がセキュリティリスクを理解し、英断をもって体制や予算に関与することがいかに重要であるかを再確認した。五輪へのサイバー攻撃が回を追うごとに高度化するなか、来年に本番を迎える我が国において重要インフラが標的になる可能性はこれまでになく高まっている。経営者にはリーダーシップを発揮し来るべき時に備えていただきたい。

1. リスクの認識、組織全体での対応方針の策定
2. リスク管理体制の構築
3. 対策のための資源（予算、人材など）確保
4. リスクの把握とリスク対応に関する計画の策定
5. リスクに対応するための仕組みの構築
6. 対策におけるPDCA（計画、実行、評価、改善）サイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先などを含めたサプライチェーン全体の対策および状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその活用および提供
    

     

    出所：経済産業省「サイバーセキュリティ経営ガイドライン　Ver.2.0」

日経産業新聞　2019年5月23日掲載（一部加筆・修正しています）。この記事の掲載については、日本経済新聞社の許諾を得ています。無断での複写・転載は禁じます。

KPMGコンサルティング
パートナー　内山 公雄