サイバーセキュリティ経営ガイドライン v1.1

サイバーセキュリティ経営ガイドラインの改訂版(v1.1)が2016年12月8日付けで公開された。


v1.0とv1.1の最大の違いは "2 サイバーセキュリティ経営の3原則" でセキュリティ投資が必要不可欠かつ経営者の責務として明記された点にあると考える。

  • v1.0

    セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。

  • v1.1

    ビジネス展開や企業内の生産性の向上のために IT サービス等の提供や ITを利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクと なっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

担当者から経営層に対して「国がこう言っているんだからやりませう」的なことを言いやすくするために盛り込んだとかなんとか。
ガイドラインを指標として利用することはできるが、これを会社のルールにどう落とし込むかが難しい。