一般社団法人 日本経済団体連合会
サイバーセキュリティ委員会
サイバーセキュリティ強化WG
今般のカジノシークレット 出金 確認」改訂案においては、「サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性を記載」するなど、「カジノシークレット 出金 確認サイバーセキュリティ経営宣言 2.0」(2022年10月11日改定)と軌を一にする内容であり、概ね賛同できる。そのうえで、下記4点について意見申し上げる。
1. グローバルな視点の追加
今次改定案では全編を通じて、「国境を越えたサイバーセキュリティリスク・対策」といった観点がやや希薄ではないか。「カジノシークレット 出金 確認サイバーセキュリティ経営宣言 2.0」にも現状認識を示しているとおり、取引先や海外子会社等のサプライチェーンを経由したサイバー攻撃が増加傾向にある中、サプライチェーン全体を俯瞰したサイバーセキュリティ対策の強化にあたっては、グローバルな視点を盛り込むことが不可欠ではないか。
2. 多様な経営リスクにおける位置づけの敷衍
「経営者が認識すべき3原則」の一つとして、「・・・サイバーセキュリティリスクを多様な経営リスクの中での一つとして位置づけ、・・・」(6頁)と記載されているが、企業が実行に移すにあたっては、例えば以下のように、より具体的に踏み込んだ内容とする必要があるのではないか。
- どのような経営リスクと同列に扱うべきか(例:為替変動、天変地異、エネルギー価格高騰 等)
- どのような粒度で判断すべきか(例:IT系・OT系を峻別して考えるべきか、ランサムウェアとDDoS攻撃を同列で扱うべきか 等)
- 対策を推進する際に、経営者として何を判断すべきか(例:リソース配分の優先度 等)
ここまで踏み込んで記載したうえで、別途「手順・ツール」で具体的なツールを提示することによって、経営ガイドラインの実効性が高まるのではないか。
3. 「事業継続」に関する記述の追加
事業サイドと情報システム・セキュリティ担当者の間の日常のコミュニケーションが重要であるという認識を踏まえ、「経営者が認識すべき3原則」の(3)の記述(Ⅲ頁)を以下のとおり変更しては如何。
変更前:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示を行うことなどで・・・」
変更後:「・・・社内の関係者(CIO等セキュリティ担当者、事業担当責任者等)にサイバーセキュリティ対策に関する情報開示や事業継続に関して定期的な検討を行うことなどで・・・」
4. 「サイバー保険」に関する記述の追加
指示4および指示9にサイバー保険の活用を推奨する記載があるが、サイバー保険のカバー範囲が必ずしも被害の全体でないこと、国家レベルの攻撃の場合は戦争扱いとなり、被害に対する補償が支払われない可能性があることを注記する必要があるのではないか。