情報セキュリティコラム

【動画で解説】サイバー防衛義務付け!? 経営者が把握することリスト編

サイバー防衛義務付け!?経営者が把握することリスト

サイバー防衛が義務付けになることが大きく報道されています。その中でも経営者が把握すべきことは何なのか。実際、取締役の任務懈怠(にんむけたい)などが問われる可能性や、関連法案などで罰金などの案も出てきました。

今回は3月3日に行われたLIVE配信企画『サイバーセキュリティ対策はコストですか?投資ですか?保険ですか?』の動画をお届けします。

音を出せない環境の方は、文章での解説も用意しましたのでごゆっくりご覧ください。

1.本日のテーマ紹介

インフラ事業者に対するサイバー防衛義務付けをこちらの中でですね、経営層が把握することについて紹介させていただきます。

システム担当者だけの仕事ではなく、やはり経営層は把握して組織として対策をしていくべき必要がございます。

先ほどマクロスのポスターが休憩時間中出てましたけれども(※サイバーセキュリティ月間期間外のため掲載しておりません)、そこのタグに「サイバーセキュリティは全員参加」という風に書いてございましたけど、まさしくその通りかと思います。

続きましてですね、インフラ事業者のサイバー防衛において経営者が把握することというのは非常に膨大にあります。

インフラ事業のサイバー防衛において経営者が把握することリスト

こちらシー・エル・シーの方でですね、NISCの資料をまとめまして、チェックリストを作成させていただきました。もしご興味のある方はこちらのQRコードをお使い頂きましてダウンロードしていただければと思います。で、実際に内容を見て頂ければと思います。

 

▼よりわかりやすい資料を用意しました。社内勉強にもお役立てください。

 

第一部でもご紹介させていただきましたけれども、インフラ事業者と申しますが、こちらの表示されております14分野になります。

インフラ事業者14種類

こちらですねインフラ事業者という形になりますけれども、これらの経営層に求められることというのはどういったことか、というところをこれから御説明させていただきたいと思います。

2.経営層に求められることとは

経営層に求められることは大きく5つございます。

1.障害対応対策の強化

2.安全基準などの整備及び浸透

3.情報共有体制の強化

4.リスクマネジメントの活用

5.防衛基盤の強化

非常に多岐にわたっております。

1番目の障害対応対策の強化におきましては、経営層・CISO・戦略マネジメント層・システム担当者の役割と責任に基づく組織一丸となった対応なども求められていきます。

システム担当者だけでは組織を変えたりできませんので、そのあたりをしっかりと経営層が把握した上で組織、および対策等々について実行していくことが重要かと思います。

各項目ごとに経営層が把握しておかなければならないことは、非常にたくさんございますので、今回すべてはご紹介できないんですけども、大きく2つ実際に提出しなければいけないというような事項がございます。

3.提出しなければいけない事項1

実際に提出しなければいけない事項といたしましては・・・提出と言うよりはですね、内閣官房による調査に協力する必要があるということです。

内閣官房への調査協力―1

どういった調査がされるかと申しますと、サイバー攻撃の現状に関わる自己評価、また自社が足らない部分について。こういったことがヒアリング対象になる、というような形になるかと思います。

重要インフラ所轄官庁がですね、まぁこちらの金融関連ですと当然財務省ですとか金融監督庁になるかと思います。その他になりますと経済産業省ですとか、交通関係になりますと国土交通省といったように所轄官庁・省庁が変わりますので、そういった省庁が協議の上、2023年度中を目標に調査手法を具現化していこうという形になってます。

インフラ事業者の経営層は、そういったヒアリング対してきちんと責任を持って答えることが重要になってまいります。

4.提出しなければいけない事項2

さらにそしてですね、2個目の事項といたしましては、システムの不具合ですとか予兆・ヒヤリハットに関する情報は重要インフラ所轄省庁を通じて内閣官房に報告しなければならないということがございます。

内閣官房への調査協力―2

その時点で判明している事象ですとか、原因を随時連絡することとして、全容が分かる前の断片的・不確定的なものであってもきちんと報告してくださいというところが求められているということがあります。

5.守らなければどうなるのか

ではですね、こういったことを守らないとどうなるのかというところなんですけれども。

経営層はですね、サイバーセキュリティ体制の不備により損害賠償責任を負う場合もあります、というように言われています。

経営層は損害賠償責任を負う場合も

 

一部でも簡単に質問のところでお答えしましたけども、任務懈怠に注意というように書いてございますが。経営層がサイバーセキュリティ体制の不備により損害賠償責任を負う場合がありますということです。

いわゆる任務懈怠と言う、取締役が損害賠償責任を問われるという場合があるということに注意してください。

任務懈怠責任というのはですね、まぁ私も実際読んだことないんですけども・・・会社法の第423条(※役員等の株式会社に対する損害賠償責任)で定められておりますけれども、これによって生じた損害はですね、賠償する責任を負う、などの責任もあります。

ということで、加えてこちらと合わせて確認しておきたいというものがもう1点でございます。

これ現在法案の法整備中というふうに聞いておりますけれども、経済安全保障推進法ですね、経済安保というような略され方もしてますけども。経済安全保障推進法というのは現在議論が行われております。

特に確認しなければいけないという点が、重要なシステムを導入する際に設備の概要ですとか部品維持管理の委託先など、「こういったものを導入しますよ」といったような導入計画書の具体的なものを主務大臣に届け出ることが義務付けされます。

6.罰則もある?

導入計画書を届出しなかった場合、もしくは虚偽の届出をした場合、2年以下の懲役か100万円以下の罰金というようになると聞いております。

 

経営層は損害賠償責任を負う場合も

こちら現在議論中で、サイバー攻撃に対する対策がいかに求められれているか、というようなところが重要かなと考えております。

そしてですね、罰則があるなしに関わらず組織としてサイバーセキュリティを考えていく必要がございます。

当然サイバー攻撃を受けました、ということになりますと企業の信用問題にもなりますし、先ほどランサムウェアという所で二重恐喝というような話もございました。

実際抜き出したデータをダークウェブ上に晒したり、あえて競合相手に、ここの企業からこんなデータを取ったんだよ、というような形で信用失墜をさせるといった行為も見受けらるれそうです。

ですのでセキュリティ担当者に丸投げで報告だけ聞くということではいけなくてですね、経営層が先陣を切って取り組んでいかなければいけないということになります。

かなり脅したような内容になっておりますけれども、以上第三部これで終わらせていただきたいと思います。

 

7.いただいた質問への回答

Q1「経営層が具体的にどんなことを対策すればいいのですか」

4次行動計画の方にガイドラインで言っているのも準備されてくると思います。

セキュリティ対策は担当者任せていったようなところではなくて、実際にリスク管理は「この情報がこうなった場合どうなっちゃうんだ」といったところも含めてですね、サイバーセキュリティを強化していくというのと、組織・体制といったものを経営層がチェックして強化していく必要があるということになります。

Q2「当社は重要インフラに関連しない企業なのですが行動計画が策定されることによってどういうところに変化がありますか」

罰則規定ですとか報告義務違反などは当然インフラ事業者ではないので問われることはないかと思いますけれど、当然サプライチェーン上関わりのある企業さんに、逆にそのインフラ事業者様から訴えられるような可能性もあるかもしれません。

それ以外の企業様に関しまして、今後経営層の責任でサイバーセキュリティの対策を行うことで信用度向上といったことも図れるかと思いますので、今回のこの「重要インフラ事業者向け」と言いますけれども、さまざまな企業の経営層の方々に参考にしていただければなというように考えております。

 

▼よりわかりやすい資料を用意しました。社内勉強にもお役立てください。

PRODUCT

関連情報

  • まずは手軽に簡単に「ゼロトラスト環境に」
    エンドポイントセキュリティ

    「侵入されても発症しない新世代セキュリティ」

    製品を見る
  • PC上の様々なログを収集、脅威分析システムにかけ ホワイトハッカーにて分析・解析するなら

    ゼロトラストEPP+脅威解析システムによる解析+ホワイトハッカーによる分析

    製品を見る
  • AIを使ったNDR(監視/検知)で、
    あらゆるデジタル環境で脅威を
    リアルタイムに検知・可視化する

    「従来の手法で発見できなかったあらゆる脅威を検知」

    製品を見る

ABOUT CLC

シー・エル・シーとは

1980年から培った解決力
システムの最適化を提案するエキスパート

CLCはさまざまな業種のお客様からシステムについてのご相談をいただき、そのつど問題の的確な解決に努力してまいりました。
システムに関する豊富な経験とノウハウを活かした実績が評価され、システムの最適化をご提案するエキスパートとして、お客様から厚い信頼を頂いています。