サイバーセキュリティ経営ガイドライン

企業などの経営者が自らのリーダーシップの下、経営上のリスクマネジメントの一貫として組織的にサイバーセキュリティ対策に取り組む際の指針を示している。必ずしもITやセキュリティの専門家とは限らない企業経営者に向け、セキュリティ対策の意義や必要性、経営上の位置づけなどから説き起こしている。

ガイドラインではまず「経営者が認識すべき3原則」として「経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要」などの3つの原則を示し、それぞれについて詳述している。

次に、「サイバーセキュリティ経営の重要10項目」を挙げている。これは経営者の視点から社内のセキュリティ担当者や担当部署への指示の形式で書かれており、「指示1：サイバーセキュリティリスクの認識、組織全体での対応方針の策定」といった項目が10個並んでいる。

付録として、対策を進める上で有用なチェックシートや参考情報、他のガイドラインや標準規格などとの関係、用語集、組織体制の確立や人材確保を行うための手引きなどが用意されている。初版は2015年に発表され、第2版（Ver2.0）は2017年に、第3版（Ver3.0）は2023年に公表された。

関連用語

IPA

【Information-technology Promotion Agency】

サイバー攻撃

【cyberattack】

脆弱性

【vulnerability】

CISO

【Chief Information Security Officer】

バージョン

【version】

ネットワーク

【network】

インシデント

【incident】

システム

【system】

リカバリー

【recovery】

ツール

【tool】

データ

【data】

セキュリティ

【security】

クラウド

【cloud】

BCP

【Business Continuity Plan】

PDCAサイクル

【Plan-Do-Check-Act cycle】

リスク

【risk】

営業秘密

【trade secret】

レポート

【report】

協力会社

【ビジネスパートナー】

情報セキュリティ

【information security】