DXとセキュリティをともに推進するポイント 第4回 海外と日本のセキュリティガイドラインの決定的な違いとは

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、および経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」で構成されている。時代の変化に合わせてアップデートされており、最新版は2023年3月24日に公開されたVer3.0となっている。同ガイドラインもリスクベースアプローチを推奨しており、ゼロトラストモデルに基づき侵害された際の事業インパクトを抑え込むための方策を示すものとなっている。
「中小企業の情報セキュリティ対策ガイドライン」

2016年には、IPAが「中小企業の情報セキュリティ対策ガイドライン」を公開した。サイバーセキュリティの専門知識を持った人材確保が難しい中小企業であっても必要なセキュリティ対策が行えるように、平易な表現ですぐにできることから始めるといった段階的な対応を説明している。こちらも2023年8月4日に第3.1版が公開され、クラウドの安全な利用やインシデント発生時の対応手順などの関連資料も充実している。
業界独自のセキュリティガイドライン

2021年頃からさまざまな業界を対象に事業継続に影響を及ぼす深刻なランサムウェア感染被害が発生したことから、各業界で独自のセキュリティガイドラインが策定され、公開される動きが出てきている。

例えば、2020年3月31日には日本自動車工業会（JAMA）、日本自動車部品工業会（JAPIA）が共同で「自動車産業サイバーセキュリティガイドライン」を策定、2024年8月28日にはV2.2が公開されている。同様のガイドラインは、医療機関や物流事業者、建設事業者、制御システム向けなど、多く公開されている。

組織におけるITシステムおよび集約データの重要性は増す一方であり、それに呼応する形でリスク抑制のためのガイドラインがリリースされている。その内容はどうしても理念や考え方が先行する場合が多く、具体性を伴ったアクションに繋げづらいという印象を持たれる方も少なくないだろう。

言及されている内容は的確にセオリーを押さえているものの、体系的なサイバーセキュリティの知識を身につけていない一般的なビジネスパーソンにとっては、意図を理解して行動に移すのは容易ではない。

そうした状況の中で、2024年10月4日に金融庁が公開した「金融分野におけるサイバーセキュリティに関するガイドライン」は具体的な対策まで言及しており、実用性の高いガイドラインとなっている。次回はこのガイドラインについて詳しく紹介する。

○河合 瑞気

○イルミオジャパン合同会社 営業本部長 市場戦略担当
大手総合セキュリティベンダーに15年間勤務し、運用含めたセキュリティの全体提案や新規開拓を行うとともに、新製品のGo To Marketを推進。その後、大手SASEベンダー黎明期から約4年間の勤務を経て、現在はイルミオの日本ビジネスの立ち上げに従事している。
（）