サイバーセキュリティ経営ガイドラインとは
経済産業省が独立行政法人情報処理推進機構(IPA)とともに策定した、経営者がサイバー攻撃から企業を守るための理念や行動を記したガイドラインのこと。経営者が認識すべきサイバーセキュリティに関する原則(3原則)や、トップダウンで取り組むべき項目(重要10項目)などで構成されており、経営者が読むことを意識した策定となっている。
最初のガイドライン(バージョン1.0)は2015年12月に公開され、2016年12月にバージョン1.1に改訂、2017年11月には改訂版バージョン2.0が公開された。
2017年の改訂では、「攻撃の検知」(例えば、アクセスログや通信ログなどからサイバー攻撃を検知する仕組みを整える)や「復旧への備え」(例えば、サイバー攻撃に見舞われた際に備えての復旧に向けた手順書策定や関連機関との連携)が、新たな記載として加わった。その背景には、年々巧妙化かつ悪質化しているサイバー攻撃がある。自社のシステムがサイバー攻撃に侵入されていること自体に気付かないケースも数多くあり、もはやファイアウォールによる事前対策(入口対策)だけでは不十分といわざるを得ない状況になっていることを踏まえ、「検知・対応・復旧」を柱とする事後対策に重点を置く取り組みを企業にも求めた結果だといわれている。
