「サイバー攻撃による『深刻な被害』ゼロ」を目指す一般社団法人サイバーセキュリティ連盟（以下「当連盟」）は、2023年６月20日（火）に『サイバーセキュリティ経営ガイドライン Ver 3.0』解説セミナーを実施しました。当日は各産業における経営層の方や情報システム担当者など、約100名がご参加されました。

尚、2023年9月30日（土）までにご入会された法人・個人の方は、本イベント動画のアーカイブ配信を致します。
詳細は当ページの最下部をご覧下さい。

近年増加するサイバー攻撃は多様化・広範化しており、サイバーセキュリティに脆弱性のある取引先が攻撃経路としてまずは狙われ、そこから自社に被害が及ぶなど、社会全体で問題が深刻化しています。サイバー攻撃への対策は今や事業継続を左右する「経営リスク」の一つとして「検討・対策が必須」となっています。
こうした背景から、今やサイバーセキュリティは全ての従業員において必要な知識・スキルであり、社内全体で共通意識を持たせることも経営者の責務の一つとなっています。

経済産業省が公開する『サイバーセキュリティ経営ガイドライン』には、経営者が企業や組織を守る観点として、経営者が認識すべき事項と従業員（セキュリティ担当役員など）に指示すべき項目とが纏められており、2023年3月に6年ぶりの改定が行われました。
今回のセミナーでは『サイバーセキュリティ経営ガイドライン』をより分かりやすく理解して頂くために、経済産業省サイバーセキュリティ課長の奥田修司氏にご登壇いただき、実例を交えながらポイントを絞った解説セミナーを実施しました。

セミナーは当連盟の代表理事を務める小池敏弘の挨拶から始まり、経済産業省サイバーセキュリティ課長の奥田修司氏による「改定ポイントの説明・解説」の後、奥田修司氏と当連盟の事務局長である西澤将人とで「重要ポイント」を深掘りするトークセッションを展開しました。
当連盟は今後も様々な取り組みを通して、サイバーセキュリティの重要性を啓発するべく尽力して参ります。

■ 『サイバーセキュリティ経営ガイドライン Ver3.0』概要・改定ポイントの解説
経済産業省　商務情報政策局　サイバーセキュリティ課長　奥田修司氏

コロナ禍を経て、全産業においてDXが進んでおりVPNの脆弱性を狙ったランサムウェアなどの脅威が増えています。犯罪がビジネス化していることもランサムウェア攻撃が増加している要因となっています。サイバー攻撃を受けると、自社システムが暗号化され使用できなくなるほか、身代金が要求され、支払ったとしてもシステムが復旧する保障はありません。ランサムウェア攻撃を助長しないようにするためにも、金銭の支払いは厳に慎む必要があり、しっかりとした対策が必要です。

経済産業省が公開している『サイバーセキュリティ経営ガイドライン』には経営者が認識すべき項目がまとめられており、サイバーセキュリティ経営の「3原則」、経営者が認識すべき「重要10項目」を有しているという「構成」に大きな変更はありません。
改定のポイントとしては、

• 経営者の責任の重みが変わってきていること
• サプライチェーン全体のサイバーセキュリティ向上のために取引先とのパートナーシップを構築すること
• サイバー・フィジカル空間の融合に応じた対策の必要性
  という3つが挙げられます。
  企業経営におけるサイバーセキュリティ対策の重要性は拡大しており、様々なコーポレートガバナンスの一環としてサイバーセキュリティは考えていく必要があります。

■ トークセッション
トークセッションは、当連盟の西澤将人をファシリテータに『サイバーセキュリティ経営ガイドライン』について大きく3つのテーマで語られました。

【「経営リスク」となるサイバー攻撃】

西澤：サイバー攻撃被害は機密情報を盗まれることが注目されがちだと思うのですが「経営リスクへの対処」という意味では事業継続の観点も重要だと思います。サイバー攻撃によって「事業継続」に影響を与えた様な実例はございますか？

奥田氏：「当社に機微な情報はありません」という方も多いのですが、ランサムウェアでは情報が盗られてしまうだけではありません。システムデータが暗号化されてしまい、製造業では受発注が出来なくなり事業自体が止まった例もあります。病院では医療行為が出来なくなるなど、今は業種・業態関係なく被害が出ています。

【サプライチェーンに対するサイバー攻撃】

西澤：サプライチェーンに対するサイバー攻撃に関して、サイバー攻撃の被害者が実は加害者となってしまう点を強調することも改定のポイントだったかと思いますが、具体的にはどういったことなのでしょうか？

奥田氏：企業が取引先と脆弱な受発注システムなどで繋がっていたためにサイバー攻撃が伝播してしまうなど、取引先に迷惑を掛けてしまうケースがあります。この場合の「企業」は確かに被害者ですが、他方「取引先」に対しては加害者になってしまっているとも言えます。その意味では自社のサイバーセキュリティを強化することが取引先を守るポイントにもなっていきます。またサイバー攻撃を受け、直接の被害がなくとも、取引先に報告を出すための調査費用だけで500万円も掛かったなどの事例もあり、支出が発生する可能性もあります。被害は個人情報が漏えいするだけではないことを知っておいて欲しいです。

【加害者とならないための対策】

西澤：サイバーセキュリティは高額な費用を掛けなければならないと思っている方が多いようですが、その点はいかがでしょうか？

奥田氏：まずは出来ることからセキュリティ対策をしていく必要があります。SECURITY ACTION（①OSやソフトウェアは常に最新の状態に　②ウイルス対策ソフトの導入　③パスワードの強化　④共有設定の見直し　⑤脅威や攻撃の手口を知る）の実施を経済産業省では推奨しています。出来ることから対策を進めていく中で、何をしていかなければいけないかが分かってきます。
そして、第三者だけでなく内部で監査の視点を取り入れながら、足りないところを理解し対策していくための「サイバーセキュリティ監査」が大切であると考えます。

西澤：サイバーセキュリティは「コスト」と捉えられがちかと思いますが、その点はいかがでしょうか？

奥田氏：サイバーセキュリティ対策は「コスト」ではなく、企業活動におけるコストや損失を減らすための必要不可欠な「投資」です。この「投資」についての説明を分かりやすくしたのも改定ポイントの一つです。現状は「コストを掛けずに出来ること」を「実施していない」ケースが散見されます。
具体的な対策として、まずは自社のシステムが「誰」と「どこ」で「どのように」繋がっているかを把握することが最低限で実施して欲しいことです。そこで繋がっている方と平時からコミュニケーションを取るようにしておくことが大切です。また、社内でセキュリティに対してのコミュニケーションをしっかり取ることも一つだと思います。

■ 一般社団法人サイバーセキュリティ連盟について

一般社団法人サイバーセキュリティ連盟は「サイバー攻撃による『深刻な被害』ゼロ」を目指して「日本のDXをもっと安全に」する為の様々な活動を展開しています。
既にサイバーセキュリティに取り組まれている方への強化コンテンツはもちろんのこと「サイバーセキュリティって、必要なの？」「サイバー攻撃対策って、何をするの？」という方にも分かりやすく、その必要性や具体的な対策方法などが分かるコンテンツを提供しています。幅広く多くの方にご参加をいただける様に「無料」でご入会・ご参加が可能です。

▼入会申込みフォームはこちら
2023年9月30日（土）までにご入会された法人・個人の方は、本イベント動画のアーカイブ配信を致します。

- 法人名義でのご入会
https://docs.google.com/forms/d/e/1FAIpQLSczqSTsvijFvnKbgGO8bjJr_cf2QiT3A9lSbNwoOIy1PscwMQ/viewform

- 個人名義でのご入会
https://docs.google.com/forms/d/e/1FAIpQLSeFlS0JvX7eZ3H4hjvQ4jwLbulrO95ogh_bhSt-AwGdUJLj-w/viewform

ご入会に際して、ご不明点がございましたら、以下にお問い合わせ下さい。

一般社団法人サイバーセキュリティ連盟
事務局：contact@cs-a.or.jp