経産省、従業員数300人以上向け
「サイバーセキュリティ体制構築・人材確保の手引き」をウェブ公開
――「サイバーセキュリティ経営ガイドライン」の付録として体制・人材に特化――
経済産業省は9月30日、サイバーセキュリティに関する体制構築とそのための人材確保・育成が企業の急務となっているとして「サイバーセキュリティ体制構築・人材確保の手引き」(第1版)を同省ウェブサイトで公開した。副題を「ユーザー企業におけるサイバーセキュリティ対策のための組織づくりと従事する人材の育成」と掲げ、同省商務情報政策局サイバーセキュリティ課と情報処理推進機構(IPA)が連名で編んでいる。
2017年11月16日公開の「サイバーセキュリティ経営ガイドライン」(Ver 2.0。以下「経営ガイドライン」という)に基づき、主な対象企業を従業員数300名以上の大企業・中堅企業として、経営層から人事担当者・実務担当者までが体制構築・人材確保においてどのようなことを考慮すればよいのか、効率よく把握できるようにした。経営ガイドラインにはすでに「インシデント発生時に組織内で整理しておくべき事項」が付録Cとして用意されているところ、今般の「サイバーセキュリティ体制構築・人材確保の手引き」(以下「手引き」という)は、経営ガイドラインにおいて示されている重要10項目のうち、指示2「サイバーセキュリティリスク管理体制の構築」(経営ガイドライン8頁参照)および指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保」(経営ガイドライン9頁参照)について具体的な検討を行う場合の参考となることを目的として作成され、付録Fという位置付けとしたうえで、経営ガイドラインの各項目では「『付録F』も参考とする」との一文を追記した。
手引きは「1.はじめに」「2.セキュリティ体制の構築」「3.セキュリティ関連タスクを担う人材の確保・育成」「4.セキュリティ体制・人材に関する参考文献」の4章構成。上記1(はじめに)では、まず(A)対象読者を(1)経営者・経営層、(2)最高情報セキュリティ責任者(CISO)、セキュリティ統括担当者、(3)セキュリティに関心のある人材、人事部担当者の3通りに分け、企業内の各対象読者が手引きのどこをどのように読めば効率的か、または望ましい読み方となるかについて案内した。併せて(B)手引きの中核となる「2.セキュリティ体制の構築」「3.セキュリティ関連タスクを担う人材の確保・育成」中の各項が「ポイント」「本文」「コラム」の3要素で構成されていることも紹介し、本手引きを利用しやすいものとしている。
手引きから、たとえば第2章「セキュリティ体制の構築」の第3項「セキュリティ関連タスクを担う部門・関係会社の特定・責任明確化」をみると、「ポイント」として挙げられているのは、次の2点のみ。①セキュリティ統括機能と連携しつつセキュリティ関連タスクを担う部門・関係会社を特定する際には、ITSS+(セキュリティ領域)を参考にすることで、外部委託先も含めた見える化が可能。②外部委託先の選定に当たっては、情報セキュリティサービス基準適合サービスリスト等が活用可能(手引き25頁参照)。
この第3項に該当する「本文」については、「(1)セキュリティ対策に関連する実務を担う体制の検討手順」「(2)ITSS+(セキュリティ領域)の活用方法」「(3)自社実施と外部委託の切り分けの検討」「(4)ITSS+の「分野」のマッピングで見るセキュリティ体制の具体事例」「(5)自社に適したセキュリティ体制の検討」「(6)外部委託先の選定」「(7)責任の明確化」の7節を用いて詳細に説明するようにした。たとえば、上記(1)の冒頭「① セキュリティ対策の実務を担う部門の抽出」では、「IT部門のみならず、デジタル化施策を進めている事業部門、共同チーム、デジタル化専門部門を見落とさないようにすることが肝心」と述べたうえで、一般的な企業における法務部門、財務部門、総務部門、監査部門、広報部門、渉外部門、調達部門、人事部門――といった各管理部門がどのような観点から関係してくるのかについて、それぞれ具体的に説明を加えるようにしている(手引き26頁参照)。
第4章「参考文献」の2ページ分と巻末資料「本文書について」の1ページ分を合わせて全62ページとなる本手引きでは、これまでに実施された事例調査の結果や説明資料もフルカラーでふんだんに盛り込むようにしており、サイバーセキュリティに関する「組織づくり」と「人材育成」に際し、検討が必要な事項と具体的な実施項目を確認することができる資料として一読しておきたいところである。