2025.12.24

サイバーセキュリティ経営ガイドライン概説（２／４）

前回は経済産業省によるサイバーセキュリティ強化への取組みの概要や、サイバーセキュリティ経営ガイドライン（以下「ガイドライン」と表記）の構成と「経営者が認識すべき３原則」について解説しました。

今回は、「サイバーセキュリティ経営の重要１０項目」について解説します。

●サイバーセキュリティ経営の重要10項目の概要

ガイドラインでは、経営者は、CISO（Chief Information Security Officer）等に対して、重要１０項目を指示し、実施させる必要があるとしています。単に指示すればよいというわけではなく、経営者が自らの役割として実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが求められます。

なお、自組織での対応が困難、もしくは専門事業者による実施が適切と判断される項目については、外部委託による実施も検討することとしています。

経済産業省では、ガイドラインの全体像を次の図で示しています。図中の①～⑩が、サイバーセキュリティ経営の重要10項目であり、ガイドラインの本文では「指示１～指示10」として解説されています。

サイバーセキュリティ経営ガイドラインの全体像
（https://www.meti.go.jp/policy/netsecurity/mng_guide.html）

●指示1：サイバーセキュリティリスクの認識，組織全体での対応方針の策定

・サイバーセキュリティリスクを経営者が責任を負うべき経営リスクの一つとして認識し，組織全体としての対応方針（セキュリティポリシー）を策定させる。

・策定した対応方針を対外的な宣言として公表させる。

<解説>
企業として対応方針を明確にすることで、従業員等の意識や認識を合わせることが可能となり、また対外的に宣言することで、株主や顧客、取引先等の信頼性を高め、ブランド価値向上につながることにもつながります。

●指示2：サイバーセキュリティリスク管理体制の構築

・サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構築させる。

・サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。

＜解説＞
サイバーセキュリティリスク管理体制が整備されていないと、責任の所在があいまいとなり、リスクに対応した適切な対策が講じられず、インシデントが発生する可能性が高まるとともに、発生時には被害が拡大することにもつながります。

●指示3：サイバーセキュリティ対策のための資源（予算，人材等）確保

・サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源（予算、人材等）を確保した上で、具体的な対策に取り組ませる。

・全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。

＜解説＞
サイバーセキュリティ対策のための適切な予算の確保が出来ていないと、必要な対策の実施や人材の確保が困難となるほか、信頼できる外部のセキュリティベンダへの業務委託なども困難となります。

●指示4：サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

・事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃（過失や内部不正を含む）の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。

・サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。

＜解説＞
自組織のサイバーセキュリティリスクのアセスメントを行うことなく、他社の事例やベンダからの提案等をそのまま取り入れて実態にそぐわない対策を実施したとすれば、未対策のリスクによる事業の中断や機密情報の漏えい等、経営上許容できない大きな損失が発生する可能性があります。

●指示5：サイバーセキュリティリスクに効果的に対応するための仕組みの構築

・サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。

・構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。

＜解説＞
サイバー攻撃を防御するための対策を行うだけでなく、攻撃をいち早く検知・分析し、それに基づく適切な対応がとれるようにしておく必要があります。

●指示6：PDCAサイクルによるサイバーセキュリティ対策の継続的改善

・リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえた PDCA サイクルを運用させる。

・経営者は対策の状況を定期的に報告させること等を通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。

・株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。

＜解説＞
サイバーセキュリティ対策の実施状況等について経営者が定期的な報告等を受けておらず、自組織のリスクや問題を把握できていないと、適切な対策が実施されず、サイバー攻撃を受ける可能性が高まります。

●指示7：インシデント発生時の緊急対応体制の整備

・影響範囲や損害の特定，被害拡大防止を図るための初動対応，再発防止策の検討を速やかに実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制（CSIRT等）を整備させる。

・被害発覚後の通知先や開示が必要な情報を把握させるとともに，情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。

・インシデント発生時の対応について，適宜実践的な演習を実施させる。

＜解説＞
インシデントの未然防止策をどれほど実施したとしても、その発生を完全に防ぐことはできないため、発生時に備えた体制整備や対策を確実に行うとともに、定期的な演習等によって対応力を強化・維持していくことが重要です。

●指示8：インシデントによる被害に備えた事業継続・復旧体制の整備

・インシデントにより業務停止等に至った場合，企業経営への影響を考慮していつまでに復旧すべきかを特定し，復旧に向けた手順書策定や，復旧対応体制の整備をさせる。

・制御系も含めたBCPとの連携等，組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。

・業務停止等からの復旧対応について，対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。

＜解説＞
近年業務のデジタル環境への依存度がますます高まるなか、組織としての事業継続の観点から、業務の復旧プロセスと整合性のとれたデジタル環境の復旧計画と体制を整備する必要があります。

●指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策

・サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先等を含めた対策状況の把握を行わせる。

・ビジネスパートナー等との契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施等、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。

＜解説＞
サプライチェーンを構成する自組織の国内外拠点、系列企業、ビジネスパートナー等において適切なサイバーセキュリティ対策が行われていないと、その一端を担う企業等が攻撃を受け、自組織やサプライチェーン全体に影響が及ぶ可能性があります。

●指示10：サイバーセキュリティに関する情報の収集，共有及び開示の促進

・有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。

・入手した情報を有効活用するための環境整備をさせる。

＜解説＞
情報共有活動に参加することにより、他の組織が解析した攻撃手法等の情報を活用し、自組織で同様の被害が発生するのを未然に防止することが可能となります。

以上が「サイバーセキュリティ経営の重要１０項目」です。組織の実情やセキュリティ対策実施状況によって優先度は異なりますが、昨今のサイバー攻撃やインシデント事例等に照らすと、いずれも重要な内容であることがおわかりいただけたかと思います。

次回以降は、ガイドラインの各種付録や補助ツール、参考資料をはじめ、ガイドラインの活用方法や実践方法等について解説します。