サイバーセキュリティ経営ガイドラインとは | london3.jp

概要

サイバーセキュリティ経営ガイドラインとは、経済産業省とIPAが策定した、経営者向けのサイバーセキュリティ対策の指針です。サイバーセキュリティを「IT部門任せ」ではなく経営課題として捉え、経営者が主体的に取り組むことを求めています。

大企業・中堅企業の経営者を主な対象とし、経営者が認識すべき「3原則」と、経営者がCISO等に指示すべき「重要10項目」を示している点が特徴です。

詳細（3原則・重要10項目）

経営者が認識すべき3原則

経営者は、サイバーセキュリティリスクを認識し、リーダーシップをとって対策を進める。
自社だけでなく、ビジネスパートナーや委託先を含めた対策が必要。
平時・緊急時のいずれも、関係者との適切なコミュニケーションが必要。

重要10項目（抜粋）

セキュリティ方針の策定、リスク管理体制の構築。
予算・人材の確保、攻撃を前提としたインシデント対応体制（CSIRT）の整備。
サプライチェーン全体のセキュリティ対策。

このガイドラインのキーワードは「経営者向け」「3原則と重要10項目」。セキュリティを経営課題と位置づけ、経営者のリーダーシップを求める点が頻出です。

活用と関連

経営者がCISO（最高情報セキュリティ責任者）等に具体的な対策を指示する際の拠り所となる。
中小企業向けには別途「中小企業の情報セキュリティ対策ガイドライン」がある。
サイバーセキュリティ基本法の理念を、企業経営の現場に落とし込む役割を持つ。

かつては情報セキュリティは「現場・IT部門の問題」とされがちでしたが、被害が経営を揺るがす時代となり、経営者自身の責任として取り組むべきという考え方が主流になっています。

背景・関連例

大規模な情報漏えいやランサムウェア被害が、企業の信用・業績・事業継続に深刻な打撃を与える事例が相次いだことが、本ガイドライン策定の背景にあります。経営者が対策に無関心だと被害が拡大する、という教訓が反映されています。

試験での問われ方

「経営者向けにサイバーセキュリティ対策の指針を示したものはどれか」→ サイバーセキュリティ経営ガイドライン。
「経営者が認識すべき3原則の内容」を問う問題。
「策定主体はどこか」→ 経済産業省とIPA。