サイバーセキュリティ経営ガイドラインと支援ツール

• (2023/10/31)独立行政法人情報処理推進機構（IPA）から「サイバーセキュリティ経営ガイドラインVer.3.0実践のためのプラクティス集 第4版」が公開されました （New!）
• (2023/05/31)「（英訳版）Cybersecurity Management Guidelines Ver3.0」を公開しました（PDF形式：KB）
• (2023/03/24)「サイバーセキュリティ経営ガイドライン Ver3.0」を公開しました（PDF形式：KB）
• (2022/06/15)「サイバーセキュリティ体制構築・人材確保の手引き（第2.0版）」を公開しました（PDF形式：KB）
• (2022/06/15)「付録F（概要版） サイバーセキュリティ体制構築・人材確保の手引き 第2.0版」を公開しました（PDF形式：KB）

1. 策定の背景

様々なビジネスの現場において、ITの利活用は企業の収益性向上に不可欠なものとなっている一方で、企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。

そこで、企業戦略として、ITに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています。

2. 概要

経済産業省では、独立行政法人情報処理推進機構（IPA）とともに、大企業及び中小企業（小規模事業者を除く）のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、「サイバーセキュリティ経営ガイドライン」を策定しています。

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめています。

さらに、付録として、サイバーセキュリティインシデントに備えるための参考情報【付録C】や、体制構築や人材確保（指示2・3関連）について具体的な検討を行う際の参考となる手引き【付録F】もまとめております。

また、関連ツールとして、独立行政法人情報処理推進機構（IPA）にて、本ガイドラインを実践する際に参考となるプラクティス集や、実践状況を可視化するためのツールを公開しています。

3. 改訂について

昨今、サイバー攻撃は多様化・巧妙化しており、また、サプライチェーンを介したサイバーセキュリティ関連被害の拡大を踏まえた、サプライチェーン全体を通じた対策の推進の必要性が高まっているなど、各企業等においては、組織幹部が自らの果たすべき役割を認識した上で、リーダーシップを発揮し、更なる対策の強化や適切な対応などが求められています。

こうした情勢を踏まえ、有識者や関係者を交えた研究会を開催し、検討を進めながら、サイバーセキュリティ経営ガイドライン Ver3.0への改訂を行いました。なお、付録についても同ガイドラインの改訂にあわせて更新をしており、今後も改訂の必要性に応じて適宜更新します。

最新版

• サイバーセキュリティ経営ガイドライン Ver3.0（PDF形式）（令和5年3月24日公開）
• （英訳版）Cybersecurity Management Guidelines Ver3.0（PDF形式）（令和5年5月31日公開）
• 付録C サイバーセキュリティインシデントに備えるための参考情報（Excel形式）（令和5年3月24日公開）
• 付録F サイバーセキュリティ体制構築・人材確保の手引き 第2.0版（PDF形式）（令和4年6月15日公開）
• 付録F（概要版） サイバーセキュリティ体制構築・人材確保の手引き 第2.0版（PDF形式）（令和4年6月15日公開）

旧版

• サイバーセキュリティ経営ガイドライン Ver2.0（PDF形式）（平成29年11月16日公開）
• （英訳版）Cybersecurity Management Guidelines Ver2.0（PDF形式）
• 付録B-2 技術対策の例（PDF形式）（平成28年12月8日公開）
• サイバーセキュリティ経営ガイドライン Ver1.0（PDF形式）（平成27年12月28日公開）
• 付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.0版（PDF形式）（令和2年９月30日公開）
• 付録F サイバーセキュリティ体制構築・人材確保の手引き 第1.1版（PDF形式）（令和3年4月26日公開）
• 付録F（概要版） サイバーセキュリティ体制構築・人材確保の手引き 第1.1版（PDF形式）（令和3年4月26日公開）

プラクティス集

独立行政法人情報処理推進機構（IPA）にて、本ガイドラインの「重要10項目」を実践する際に参考となる考え方や実施手順等について、国内での実践事例を基にしたプラクティス集として公開しています。

• サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集　（独立行政法人情報処理推進機構（IPA））

サイバーセキュリティ経営可視化ツール

独立行政法人情報処理推進機構（IPA）にて、本ガイドラインをベースとしつつ、サイバーセキュリティの実践状況をセルフチェックで可視化いただけるツールを公開しています。 状況把握や、社内外の関係者とのコミュニケーション等にご活用いただくことで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資計画の策定等が可能となります。

• サイバーセキュリティ経営可視化ツール　（独立行政法人情報処理推進機構（IPA））

中小企業向けガイドライン

独立行政法人情報処理推進機構（IPA）にて、中小企業の情報セキュリティ対策ガイドラインを公開しています。
当該ガイドラインでは「経営者編」と「管理実践編」に分けて、実施すべき事項を解説しています。

【経営者編】

経営者が自らの責任で対応しなければならない事項として、サイバーセキュリティ経営ガイドラインの内容を中小企業向けに編集して解説。

【管理実践編】

重要な情報に対する管理責任がある立場の方が実施する事項を、企業のレベルに合わせて段階的にステップアップできるような構成で解説。

• 中小企業の情報セキュリティ対策ガイドライン　（独立行政法人情報処理推進機構（IPA））

商務情報政策局　サイバーセキュリティ課
電話：03-3501-1511（内線）3964