経営者がリーダーシップをとったセキュリティ対策の推進

サイバーセキュリティリスクの管理体制構築

• 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
• 指示2 サイバーセキュリティリスク管理体制の構築
• 指示3 サイバーセキュリティ対策のための資源（予算、人材など）確保

サイバーセキュリティリスクの特定と対策の実装

• 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
• 指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
• 指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善

インシデント発生に備えた体制構築

• 指示7 インシデント発生時の緊急対応体制の整備
• 指示8 インシデントによる被害に備えた事業継続・復旧体制の整備

サプライチェーンセキュリティ対策の推進

指示9 ビジネスパートナーや委託先などを含めたサプライチェーン全体の状況把握および対策

ステークホルダーを含めた関係者とのコミュニケーションの推進

指示10 サイバーセキュリティに関する情報の収集、共有および開示の促進

指示１
サイバーセキュリティリスクの認識、組織全体での対応方針の策定

• サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、組織全体としての対応方針（セキュリティポリシー）を策定させる。
• 策定した対応方針を対外的な宣言として公表させる。

対策例

経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取ったセキュリティポリシーを策定する。その際、製造、販売、サービスなど、事業が立脚しているすべての基盤（設備、システム、情報などの資産、流通プロセスなど）に影響を及ぼすと考えられるサイバーセキュリティリスクに応じた対応方針を検討する。

指示２
サイバーセキュリティリスク管理体制の構築

• サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にした上で、リスク管理体制を構成させる。
• サイバーセキュリティリスクの管理体制の構築にあたっては、組織内のガバナンスや内部統制、その他のリスク管理のための体制との整合を取らせる。

対策例

• 役割遂行に求められる責任や専門性、人的資源の状況に応じて、組織内要員で対応すべきものと外部の専門サービスに委託すべきものとの切り分けを行う。
• 取締役、監査役はサイバーセキュリティリスク管理体制が適切に構築、運用されているかを監査する。

指示３
サイバーセキュリティ対策のための資源（予算、人材など）確保

• サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源（予算、人材など）を確保した上で、具体的な対策に取組ませる。
• すべての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。

対策例

• 事業が立脚しているすべての基盤の安全性の担保のために必要なサイバーセキュリティ対策を明確にし、それに要する費用を確保する。
• 従業員向けやセキュリティ担当者向けなどの研修などのための予算を確保し、継続的に役割に応じたセキュリティ教育を実施する。
• セキュリティ対策業務に従事する人材のみならず、デジタル部門、事業部門、管理部門などのあらゆる業務に従事する人材に、「プラス・セキュリティ」知識・スキルの習得を促す。

指示４
サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

• 事業に用いるデジタル環境、サービス及び情報を特定させ、それらに対するサイバー攻撃（過失や内部不正を含む）の脅威や影響度から、自組織や自ら提供する製品・サービスにおけるサイバーセキュリティリスクを識別させる。
• サイバー保険の活用や守るべき情報やデジタル基盤の保護に関する専門ベンダへの委託を含めたリスク対応計画を策定させ、対応後の残留リスクを識別させる。

対策例

組織における情報のうち、経営戦略の観点から守るべき情報を特定し、それらがどこに保存され、どこで扱われているかを把握する。その際、自社の営業秘密を外部のクラウドサービスで管理したり、テレワークなどの新しい働き方を導入したりしていることの影響を適切に反映させる。

指示５
サイバーセキュリティリスクに効果的に対応する仕組みの構築

• サイバーセキュリティリスクに対応するための保護対策として、防御・検知・分析の各機能を実現する仕組みを構築させる。
• 構築した仕組みについて、事業環境やリスクの変化に対応するための見直しを実施させる。

対策例

• 重要業務を行う端末、ネットワーク、システムまたはサービス（クラウドサービスを含む）には、多層防御を実施する。
• 従業員に対する教育を定期的に行い、適切な対応が行えるよう日頃から備える。

指示６
PDCAサイクルによるサイバーセキュリティ対策の継続的改善

• リスクの変化に対応し、組織や事業におけるリスク対応を継続的に改善させるため、サイバーセキュリティリスクの特徴を踏まえたPDCAサイクルを運用させる。
• 経営者は対策の状況を定期的に報告させることなどを通じて問題の早期発見に努め、問題の兆候を認識した場合は改善させる。
• 株主やステークホルダーからの信頼を高めるため、改善状況を適切に開示させる。

対策例

必要に応じて、ISO/IEC 27001規格に基づくISMSなど、国際標準となっているPDCAマネジメントシステムの認証を活用する。

指示７
インシデント発生時の緊急対応体制の整備

• 影響範囲や損害の特定、被害拡大防止を図るための初動対応、再発防止策の検討を適時に実施するため、制御系を含むサプライチェーン全体のインシデントに対応可能な体制（CSIRTなど）を整備させる。
• 被害発覚後の通知先や開示が必要な情報を把握させるとともに、情報開示の際に経営者が組織の内外へ説明ができる体制を整備させる。
• インシデント発生時の対応について、適宜実践的な演習を実施させる。

対策例

• インシデント発生時の体制整備、ルール整備に当たって、「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参照しながら、社内理解を深める。
• インシデントの発生を想定した緊急対応に関する演習を役員や職員に対して定期的に実施し、緊急時にどのような手順で初動対応を行うべきかについて、すべての関係者が体験を通じて理解する。

指示８
インシデントによる被害に備えた事業継続・復旧体制の整備

• インシデントにより業務停止などに至った場合、企業経営への影響を考慮していつまでに復旧すべきかを特定し、復旧に向けた手順書策定や、復旧対応体制の整備をさせる。
• 制御系も含めたBCPとの連携など、組織全体として有効かつ整合のとれた復旧目標計画を定めさせる。
• 業務停止などからの復旧対応について、対象をIT系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習を実施させる。

対策例

• 設備投資計画を立案する際に、事業継続に影響をもたらす要因として、自然災害やパンデミックなどにサイバーセキュリティリスクを加え、その対策を要求仕様などに反映させる。
• 定期的な復旧演習の実施により、復旧対応に関わる関係者がその手順について、体験を通じて理解する。

指示９
ビジネスパートナーや委託先などを含めたサプライチェーン全体の状況把握及び対策

• サプライチェーン全体にわたって適切なサイバーセキュリティ対策が講じられるよう、国内外の拠点、ビジネスパートナーやシステム管理の運用委託先などを含めた対策状況の把握を行わせる。
• ビジネスパートナーなどとの契約において、サイバーセキュリティリスクへの対応に関して担うべき役割と責任範囲を明確化するとともに、対策の導入支援や共同実施など、サプライチェーン全体での方策の実効性を高めるための適切な方策を検討させる。

対策例

系列企業、サプライチェーンのビジネスパートナーやシステム管理の委託先などがSECURITY ACTIONを実施していることを確認する。なお、ISMSなどのセキュリティマネジメント認証を取得していることがより効果的である。

指示１０
サイバーセキュリティに関する情報の収集、共有及び開示の促進

• 有益な情報を得るには自ら適切な情報提供を行う必要があるとの自覚のもと、サイバー攻撃や対策に関する情報共有を行う関係の構築及び被害の報告・公表への備えをさせる。
• 入手した情報を有効活用するための環境整備をさせる。

対策例

• 株主やステークホルダーとの対話、広報による一般向け情報開示などの機会において、サイバーセキュリティインシデントに備えた日頃の取組などの情報開示に積極的に取組む。
• 中小企業の場合は、商工会議所、商工会などを通じて地元で情報共有を行うことのできる相手を確保する。
• 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を参考に、インシデントに備え、サイバーセキュリティ専門組織との情報共有や被害に係る情報の公表を行うに当たっての観点について、あらかじめ理解しておく。