経済産業省は11月30日、「サイバーセキュリティ経営ガイドライン」を改訂した。このガイドラインは企業の経営層向け。サイバー攻撃に対する備えや攻撃に遭ったときの対応方法などを提示。そしてそれらをCISOなどのセキュリティ担当者に実施するよう指示すべきとしている。最初に公開したのは2015年。今回、サイバー攻撃の多様化や新たに見えてきた課題に対応できるように改訂した。
改訂版で注目されているのは、サイバー攻撃の被害を最小限にするための「攻撃の検知」や、サイバー攻撃に見舞われた際の「復旧への備え」である。主に中小企業で導入が遅れているセキュリティ対策だ。しかし、今回の改訂で見逃してならないのは「委託先のケア」と、付録のチェックシートだ。
未対策が受注減につながる
委託先のケアとは、委託先や委託先などのセキュリティ対策を推進し、状況を把握することだ。国内ではここ1、2年で、委託先から情報が漏洩する事件が目立つようになった。委託先のケアによって、こうした事件を防げるようになる。
目的はこれだけではない。経済産業省 商務情報政策局サイバーセキュリティ課 企画官の土屋 博英氏は、「委託先のケアが不十分だと受注減につながる恐れがある」と指摘。欧米などの法律で規定されている委託先のセキュリティレベルをクリアしないと海外から受注できなくなるケースがあるのだ。
もう一つのチェックシートとは、付録Cとして追加された「インシデント発生時に組織内で整理しておくべき事項」である。セキュリティインシデント発生時に把握すべき事項を、初動対応、原因調査、事後対策という三つのフェーズ別に提示している(図1)。対処を考えたり、第三者に状況を伝えたりするときに便利だ。Excelファイルで提供されていて、印刷して書き込めるようになっている。
付録Cの作成に携わったサイバーセキュリティ課 情報セキュリティ対策専門官の辻 伸弘氏は、「付録Cは、インシデント発生前から利用すべき」と話す。付録Cの「把握すべき事項」には、攻撃やウイルスの種類を調べるために必要な特徴などが含まれる。社内にこうした情報を収集できる人員がいるのか、外部に委託するときはどこにするのか、といったことをあらかじめ決めておかないと、インシデント発生時に適切に対応することが難しくなる。
