サイバーセキュリティ経営ガイドライン|情報処理安全確保支援士試験 令和4年春期午前Ⅱ 問9
出典:令和4年春期 午前Ⅱ 問9
分野:セキュリティ / 情報セキュリティ管理
経済産業省とIPAが策定した"サイバーセキュリティ経営ガイドライン(Ver2.0)"に関する記述のうち,適切なものはどれか。
- ア:経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
- イ:経営者が認識すべきサイバーセキュリティに関する原則と,経営者がリーダーシップを発揮して取り組むべき項目を取りまとめたものである。
- ウ:事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
- エ:製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。
TSUNAGARU-ADVICE
まず押さえたいこと
サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティを経営課題として捉え、リーダーシップを発揮して対策を進めるための指針です。ポイントは、経営者が認識すべき原則と取り組むべき項目を示していることです。
迷ったときの判断軸
このガイドラインは、セキュリティ対策を単なるコストとして扱うものではなく、事業継続や企業価値を守るための経営上の取組として位置付けています。また、全ての企業に一律の対策を定めるものでも、小規模製造業の事後対応だけをまとめたものでもありません。経営者の責任とリーダーシップに注目すると判断しやすくなります。
科目Bにつなげるために
科目Bでは、技術的対策だけでなく、経営層の関与・リスク管理・委託先管理・インシデント対応体制などを問われることがあります。サイバーセキュリティ経営ガイドラインは、セキュリティを経営リスクとして扱うための指針として理解しておきましょう。
サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティを経営課題として捉え、リーダーシップを発揮して対策を進めるための指針です。
Ver2.0では、経営者が認識すべきサイバーセキュリティ経営の原則と、経営者がCISOなどに指示すべき重要項目が示されています。
したがって、イが適切です。
❌他選択肢が誤りの理由ア:経営者が,実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視し,コストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
⇒サイバーセキュリティ経営ガイドラインでは、サイバーセキュリティ対策を単なるコストではなく、事業継続や企業価値を守るための投資として捉えることが重視されています。コストとして捉えることを重視する説明は適切ではありません。
ウ:事業の規模やビジネスモデルによらず,全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
⇒ガイドラインは、全ての企業に一律の対策を強制するものではありません。企業の事業内容、規模、リスクに応じて、経営者が必要な対策を判断し、実行するための考え方や重要項目を示すものです。
エ:製造業のサプライチェーンを構成する小規模事業者の経営者が,サイバー攻撃を受けた際に行う事後対応をまとめたものである。
⇒サイバーセキュリティ経営ガイドラインは、製造業の小規模事業者だけを対象にした事後対応マニュアルではありません。経営者がサイバーセキュリティ対策を経営課題として位置付け、平時からリーダーシップを発揮して取り組むための指針です。