2025.12.12

サイバーセキュリティ経営ガイドライン概説（１／４）

サイバー攻撃の脅威は日々高まり続けており、セキュリティ対策に不備や欠陥があれば、自社のみならず、顧客や取引先にまで大きな被害を及ぼすことにもなりかねません。
そうした事態に陥らないため、経営者には適切な経営資源を確保し、対策を施すことが求められます。

今回は、経営者が自社の対策状況を知り、強化する上で活用すべきサイバーセキュリティ経営ガイドラインの概要について解説します。

●経済産業省によるサイバーセキュリティ強化への取組み

経済産業省では、従前から「産業サイバーセキュリティ強化へ向けたアクションプラン」を掲げており、その中の一つに「サイバーセキュリティ経営強化」があります。その実現に向け、次の３つの施策を推進してきました。

　①経営者向け：サイバーセキュリティ経営を促す仕組みの構築

　②現場の実務者向け：具体的な対策の導入を促す事例集と可視化ツールの整備

　③中小企業向け：サイバー保険等と連携した『サイバーセキュリティお助け隊』の創設

そして、①の経営者向けの施策を推進するために策定されたのが、今回のテーマである「サイバーセキュリティ経営ガイドライン」なのです。なお、経済産業省では①の実現に向け、図に示す3つのStepで進めてきました。

経済産業省「産業サイバーセキュリティ強化へ向けたアクションプラン」より
（https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/002_03_00.pdf）

●サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドライン（以下「ガイドライン」と表記）は、大企業及び中小企業（小規模事業者を除く）のうち、ITに関するシステムやサービスなどを供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、経済産業省と独立行政法人情報処理推進機構（IPA）が策定したガイドラインです。

近年サイバー攻撃はますます悪質・巧妙化しており、セキュリティ対策が不十分な企業を探しては脅し、金銭を奪うことを目的としたビジネスと化している感すらあります。たとえ身代金を支払わなかったとしても、サイバー攻撃によって顧客の個人情報や取引先とNDA（秘密保持契約）を締結している情報が外部に流出するようなことになれば、社外にまで大きく被害を広げ、その後の事業継続や取引に多大な影響を及ぼすことにもなりかねません。

そのような事態に陥らないためには、企業の経営者がサイバー攻撃の脅威とリスクを認識した上で、人材や資金等の経営資源を確保し、インシデントの予防・検知・対処・回復といった観点から自社に必要な対策を見極め、実施していく必要があります。

とはいえ、現実にはどこから手を付ければ良いのか、自社のセキュリティ対策は適切に行われているのか、どこに不備があるのかよくわからないということも多いでしょう。

そのような疑問や不安を低減・解消するための一助となるのがこのガイドラインです。

●ガイドラインの全体構成

ガイドラインは、図に示すように、本文と各種付録に加え、ガイドラインを補助するツールや実践するための参考資料等から構成されています。

ガイドライン本文は、2015年12月に初版であるVer1.0が公表された後、随時改訂が行われており，2023年3月にVer3.0が公表されました。

サイバーセキュリティ経営ガイドラインの全体構成

●経営者が認識すべき3原則

ガイドラインでは「経営者が認識すべき３原則」として、ガイドライン本文の項番２で次が挙げられています。

（1）経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要

（経営者はリーダーシップをとってサイバー攻撃のリスクと企業への影響を考慮したサイバーセキュリティ対策を推進するとともに、企業の事業継続のためのセキュリティ投資を実施すべきである）

（2）サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要

（自社のサイバーセキュリティ対策にとどまらず、在来形の部品調達などの形態や規模にとどまらないクラウドサービスの利用等のデジタル環境を介した外部とのつながりの全てを含むサプライチェーン全体を意識し、総合的なサイバーセキュリティ対策を実施すべきである）

（3）平時及び緊急時のいずれにおいても、サイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要

（平時から社外の利害関係者（株主、顧客等）はもとより、社内の関係者（CIO等セキュリティ担当者、事業担当責任者等）に事業継続に加えてサイバーセキュリティ対策に関する情報開示を行うことなどで信頼関係を醸成し、インシデント発生時にもコミュニケーションが円滑に進むよう備えるべきである。）

企業が効果的なサイバーセキュリティ対策を行うには、適切な人材や予算の確保等、適切な経営資源の確保やリーダーシップが必要であり、そのためには経営者の積極的な関与が不可欠です。

近年は、企業グループの子会社や取引先企業等を攻撃し、部品の供給やグループの本業であるサービスの提供に影響を及ぼすサプライチェーン攻撃の脅威も高まっています。そのため、自社にとどまらず、企業グループの子会社、取引先等も含めたサプライチェーンとしてのサイバーセキュリティリスクを認識し、対策を強化していく必要があります。

また、サイバー攻撃によって被害が発生した場合であっても、必要以上に関係者に不安を感じさせたり、不信感を持たれたりすることがないよう、日ごろからサイバーセキュリティ対策の実施状況等について情報開示する等、コミュニケーションを密にすることも重要です。

次回は、ガイドラインの「サイバーセキュリティ経営の重要１０項目」について解説します。