サイバー攻撃による事業停止や情報漏えいが、企業規模を問わず現実の経営リスクとなっています。こうした状況を受けて、セキュリティ対策を技術部門の問題としてではなく、経営者自身が判断すべき課題として捉え直す動きが広がっています。

その際の参照軸として、国際的に広く知られているのがNIST CSF(米国国立標準技術研究所が策定したサイバーセキュリティフレームワーク)です。しかし、日本企業の経営者が実際に判断し、組織へ指示を出す場面では、日本の会社法やガバナンス、企業間取引の構造に接続した別の視点も必要になります。

経済産業省と独立行政法人情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」は、その視点を提供してきた文書です。2015年のVer1.0公開以来、経済産業省が公表するコーポレートガバナンス関連のガイドラインでも、サイバーセキュリティリスクへの対応にあたってこの文書を参照するよう求めるものが増えており、「国内企業間でサイバーセキュリティ対策を行う際の共通言語としての役割を担っている」とされています(出典①p.3)。

なぜ日本独自のガイドラインが必要だったのか。その問いを起点に、経営者として読むべき地図を整理します。

出典
本稿で問いかけること
  • 経済産業省・IPAは、NIST CSFとは別に、なぜ独自のガイドラインを策定したのか
  • このガイドラインは経営者に何を求め、どのような行動を促しているのか
  • CSFとガイドラインを、日本企業の経営者はどのように組み合わせて使うことができるか

1. なぜ日本独自のガイドラインが必要とされたか

1-1. 策定の背景

サイバーセキュリティ経営ガイドラインの初版(Ver1.0)が公開されたのは2015年のことです。その後2017年にVer2.0へ改訂され、2023年3月にVer3.0が公開されています。いずれの版も検討の場は経済産業省とIPAの共催による研究会であり、「Ver3.0の策定にあたっては、機関投資家やサイバーセキュリティの専門家等へのヒアリングを行い、これからの企業に対して求められるセキュリティ対策等を把握した上で改訂を行った」とされています(出典①p.3)。

ガイドラインは、「経営者(企業の代表者として、統括責任を負う者(CEO))、さらに経営者から指示を受け、サイバーセキュリティ対策の実践に関する責任を負う者(CISO 等)を第一義的読者として想定」しています(出典①p.8)。本ガイドラインが対象外としている小規模事業者を含む中小企業向けには、IPAが別途「中小企業の情報セキュリティ対策ガイドライン」を発行しています。最新版は2026年3月公開の第4.0版です(参考情報①)。

サイバーセキュリティ経営ガイドラインは、技術担当者のための手順書ではなく、経営者が何を判断し、何をCISOに指示するかを定めた文書として設計されています。その点が、この文書の核心です。

1-2. Ver3.0改訂を促した変化

2017年のVer2.0公開から2023年のVer3.0までの約6年間に、企業のサイバーセキュリティを取り巻く状況は大きく変化しました。攻撃の対象はIT系から制御系・OTを含むデジタル基盤全体へと広がり、ランサムウェアによる被害は情報漏えいにとどまらず、事業停止や取引停止にまで及ぶようになっています(出典①p.3)。JNSA(特定非営利活動法人日本ネットワークセキュリティ協会)が2025年7月に公表した調査によれば、ランサムウェア感染被害の被害金額は回答の平均値で約5,000万円、中央値で約3,300万円に上り、直近2年ではさらに増加傾向にあります。ウェブサイトからの情報漏えいでは、クレジットカード情報を含む場合の平均値は約3,600万円となっています(出典②p.23〜24、p.26〜27)。事故が技術部門内で完結する問題でなくなっていることが、数字からも読み取れます。

こうした変化を背景に、サイバーセキュリティへの対応はコーポレートガバナンスの問題として扱われるようになっています。会社法の内部統制やコーポレートガバナンス・コードに基づく開示と対話において、サイバーセキュリティリスクを考慮しなければ、企業の実態を反映したものにはならないという認識が、ガイドラインの前提として置かれています。セキュリティを技術部門内のコスト問題に閉じ込めるのではなく、経営判断の領域として扱う必要性を示しています。

1-3. CSFの「翻訳」だけでは埋まらない部分

NIST CSFが既にあるなら、それを日本語に翻訳して経営者向けに解説するだけでもよかったのではないか——という問いが残ります。しかし、翻訳では届かない部分があります。

CSF 2.0は「セクター・国・技術に中立」であることを明示しており、その汎用性がCSFの強みです。一方で、日本の会社法やガバナンス構造、開示制度との関係は、利用する組織が自ら補っていく必要があります。日本企業の経営者がCSFを実務に適用する際には、少なくとも三つの接続作業が必要になります。

第一は、責任主体との接続です。CSFは「組織」を主語として成果を記述しますが、その成果に対して誰が法的責任を負うかまでは規定しません。日本の会社法のもとでは、経営者は善管注意義務を負います。ガイドラインは「サイバーセキュリティ体制が当該組織の規模業務内容に鑑みて不十分なことに起因して、組織が保有する情報の漏えいなどにより会社や第三者に損害が生じた場合善管注意義務違反や任務懈怠に基づく損害賠償責任を問われ得る」と明記しています(出典①p.8)。組織として達成するという記述だけでは、取締役会の席上で誰が何を説明すべきかが見えません。

第二は、指示・報告系統との接続です。CSFはProfileを使って現状と目標を記述しますが、経営者がCISOに何を指示し、CISOが何を確認して経営に戻すかという垂直の責任連鎖は設計されていません。ガイドラインはこの点を「担当者へのいわゆる『丸投げ』は許されない」と明記し(出典①p.8)、経営者が引き受けている指示責任の範囲を正面から示しています。CSFにはこれに相当する記述がありません。

第三は、国内の統治・開示制度との接続です。コーポレートガバナンス・コードへの対応、会社法上の内部統制、株主や取引先への説明——日本企業の経営者が実際に判断する際の枠組みと、CSFの語彙はそのままでは直接つながりません。翻訳しただけでは自社の取締役会でどう扱うかが見えない。ガイドラインは「会社法の求める内部統制システムの構築や必要な体制の整備、コーポレートガバナンス・コードに基づく開示と対話等において、サイバーセキュリティに関するリスクを考慮しなければ実態に即したものにはならず」と明記しており(出典①p.7)、日本企業が実際に判断を行う場の言語にサイバーセキュリティを接続しています。

CSFが「セクター・国に中立な達成目標の地図」であるとすれば、サイバーセキュリティ経営ガイドラインは「日本の統治構造の中で、経営者が実際に判断し、指示し、責任を負う文脈に引き直した地図」です。同じリスクを扱いながら、出発点が異なります。

出典
参考情報

2. NIST CSFとの対応関係と役割の違い

2-1. 対応関係はVer1.1で整理されている

サイバーセキュリティ経営ガイドラインVer3.0の付録Dでは、重要10項目とISO/IEC 27001、NIST CSF Ver1.1、CIS Controls Ver8との対応関係が表として整理されています(出典①付録D)。ガイドラインの公開は2023年3月、NIST CSF 2.0の公開は2024年2月であるため、付録が直接対応しているのはCSF Ver1.1です。ISO/IEC 27001は情報セキュリティマネジメントシステム(ISMS)の国際規格であり、組織が情報セキュリティをどのように管理・運用するかの要求事項を定めたものです。CIS Controlsは米国のCenter for Internet Securityが策定した技術的な実施策の集合体で、優先順位付きの具体的なセキュリティ対策として広く参照されています。これらとの対応関係を示すことで、既存の管理体制との接続を図る意図があると読めます。

一方、CSF 2.0では「Govern(統治)」が独立した機能として新たに加わり、組織全体のサイバーセキュリティ戦略・方針・役割・説明責任がより明確に位置づけられました。日本のガイドラインと問題意識の接点が一層見えやすくなっています。ただし、Governが示すのはあくまで達成すべき成果の記述であり、日本の法制度・ガバナンス構造への接続は依然として使う側の作業です。Governが加わっても、日本の法制度や組織内の役割関係との接続を、利用する企業が自ら設計する必要がある点は変わりません。

2-2. 縮尺の違いという見方

出発点が異なるふたつの文書の関係は、「縮尺の違い」という見方が一つの手がかりになるかもしれません。

現行のNIST CSF 2.0は、Governを含む6つの機能のもとに多数のカテゴリ・サブカテゴリを展開し、組織が「何を達成すべきか」を体系的に記述します。汎用的な記述であるため、自組織のプロファイルを作成することで初めて「自分たちの地図」になります。CSFはいわば、地形を精密に描いた広域地図です。どこに山があり、どこに川があるかは分かる。ただし「どこに向かうか」は、使う側が決める必要があります。

一方、サイバーセキュリティ経営ガイドラインは、経営者とCISOという具体的な読者を想定し、「経営者が認識すべき3原則」と「経営者がCISO等に指示すべき重要10項目」という形で、経営者の視点から意思決定の起点を示しています。ただし、重要10項目もかなりの抽象度があり、具体的な実施手順はプラクティス集(参考情報②)などに委ねられています。「経営者が担う部分を切り出した意思決定の地図」と捉えるのが正確です。

どちらが優れているという話ではありません。同じリスクを対象としながら、異なる視点と縮尺で描かれたふたつの地図は、互いを補い合う関係にあります。

3. 3原則・重要10項目は何を問うているか

3-1. 3原則:経営者の姿勢を定める

経営者が認識すべき3原則は、具体的な対策指示に入る前に、経営者としての基本的な立場を明確にするものです(出典①p.5, pp.12-13)。

原則1:リーダーシップ
サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めること」。
セキュリティ投資を決める権限は経営者にあり、実務を担当者に委ねても、判断責任まで手放すことはできないという宣言です。

原則2:サプライチェーン全体への目配り
自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要」。
ガイドラインはここでのサプライチェーンを、従来型の部品調達にとどまらず、クラウドサービスの利用等「デジタル環境を介した外部とのつながりの全て」を含むものと定義しています。自社の対策が整っていても、つながりのどこかに起点があれば、被害は及びます。

原則3:コミュニケーション
平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施するためには、関係者との積極的なコミュニケーションが必要」。
ここで問われているのは、単なる情報発信ではありません。ガイドラインは平時から社外の利害関係者(株主、顧客等)はもとより社内の関係者にもサイバーセキュリティ対策に関する情報開示を行い信頼関係を醸成すること、インシデント発生時にもコミュニケーションが円滑に進むよう備えることを求めています。不完全な情報の段階でどう説明するかも、経営判断の一部です。

3原則は「べき論」のように見えますが、その背景には経営者の法的責任があります。前章で確認した通り、体制が不十分なことに起因して損害が生じた場合、「善管注意義務違反や任務懈怠に基づく損害賠償責任を問われ得る」とされています(出典①p.8)。3原則は経営者への啓発である以前に、その責任の輪郭を示したものと読めます。

3-2. 重要10項目:統治の循環として読む

重要10項目は、経営者がCISO等に指示すべき事項として整理されています(出典①p.6, pp.14-32)。

  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2:サイバーセキュリティリスク管理体制の構築
  • 指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
  • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5:サイバーセキュリティリスクに効果的に対応する仕組みの構築
  • 指示6:PDCAサイクルによるサイバーセキュリティ対策の継続的改善
  • 指示7:インシデント発生時の緊急対応体制の整備
  • 指示8:インシデントによる被害に備えた事業継続・復旧体制の整備
  • 指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
  • 指示10:サイバーセキュリティに関する情報の収集、共有及び開示の促進

重要10項目は、10個の独立したチェック項目ではありません。方針を定め、責任と資源を置く。リスクを把握して対策し、異常時には対応・復旧する。外部との関係を管理し、結果を共有して再び経営判断へ戻す——こうした一連の統治の循環を設計したものと読めます。特に指示6(PDCA)と指示10(情報共有・開示)は、経営判断へのフィードバック回路として機能します。ここが機能しなければ、対策は「実施した」という事実の積み上げで終わり、残留リスクが経営の視野に入ってこなくなります。

また、ここで注目したいのは「指示」という言葉の意味です。ガイドラインはこれを「JIS Q 38500:2015(情報技術-ITガバナンス)における指示と同義」と明記しています(出典①p.6注6)。つまり担当者に任せることではなく、「実践の結果を確認する責任を負う」ことを含んでいます。

4. 日本企業の経営者にとっての使い方

4-1. 指示したという事実と、統治が機能していることは同じか

ガイドラインは経営者からCISOへの「指示」を前提としています。しかし現実には、指示を出しても機能しない場面があります。CISOに予算権限がない、CISOがIT部門長を兼務し実施部門と評価・報告機能の分離が不十分になっている、経営会議には対策件数だけが報告され残留リスクが示されない——こうした構造の中では、「指示済み」という事実が経営者の仕事の終点になりやすくなります。

ガイドラインがいう「指示」は、命令を発することではなく、権限・資源・報告経路を整え、実践結果を確認するところまでを含みます。CISOを任命しただけでは、重要10項目に対応したことにはなりません。

この問いは、セキュリティに限らない構造問題です。デジタル施策の推進でも、DXの文脈でも、「指示したが動かない」という場面の背景には、指示の内容ではなく、指示が機能するための設計が欠けていることが多くあります。

4-2. 投資として判断するとはどういうことか

ガイドラインは、サイバーセキュリティ対策を「将来の事業活動・成長に必須な費用」という意味で「投資」と位置づけています(出典①p.4)。ただし、この「投資」は会計上の資産計上を意味するものではなく、将来リスクを抑制し、リスクと利益の総和を改善する手段という独自の意味で使われています(出典①p.4注4)。

したがって問われているのは、支出を「コスト」と呼ぶか「投資」と呼ぶかではありません。その支出が、どの事業リスクを、どの水準まで下げるためのものかを説明できるかです。事業継続や成長の前提として必要な水準を判断し、過不足なく資源を配分することが求められています。何を許容できないかが明確になれば、少なくとも投資の優先順位を判断する起点が得られます。

4-3. 経営者がセキュリティに関与するとはどういうことか

経営者がセキュリティに関与するとは、技術の細部を把握することではありません。ただし、技術を理解しなくてよいということと、技術が事業に与える影響を理解しなくてよいということは、同じではありません。

経営者が理解すべきなのは、事業を支える重要なデジタル依存関係、発生し得る事業影響、現在の残留リスク、対策しない場合に引き受けるもの、復旧に必要な時間と代替手段、誰がどの時点で経営に報告するかという構造です。

この構造の中で、異常が生じたときに誰から何が提示されるかを設計しておくことが、経営者のセキュリティ関与の実質です。その報告が対策の実施件数や脆弱性の件数にとどまっていれば、経営は判断できません。必要なのは、それがどの事業にどの程度の影響を与え得るのかという翻訳です。

4-4. ガイドラインとCSFの組み合わせ方

ガイドラインとCSFをどのように組み合わせるかについて、一つの決まった方法があるわけではありませんが、実務的な使い方として次のような流れが考えられます。

まず3原則で経営者自身の姿勢を確認する。自社のリスクとして認識しているか、サプライチェーンを含めて見ているか、関係者との対話を設計しているか。次に重要10項目で指示と責任の所在を確認する。誰に何を指示しているか、権限と予算は伴っているか、結果はどの会議体に戻るか。そのうえでCSFのProfileを使って現状(Current Profile)と目標(Target Profile)を構造化し、何ができていてどこにギャップがあるかを言語化する。

この組み合わせによって、ガイドラインとCSFの関係は「比較するもの」から、それぞれの役割を生かして経営判断と実践をつなぐものへと変わっていきます。

結び

ガイドラインは、自社にそのまま当てはめられる答えを与える文書ではありません。

そこに示された問いを、自社の事業構造、依存関係、許容できるリスクに引き直していく。その過程で初めて、セキュリティは担当部門の対策から、経営の意思決定へと移っていきます。

NIST CSFとサイバーセキュリティ経営ガイドラインは、そのための異なる入口を示しています。どちらを選ぶかよりも、そこからどのような対話を始めるかが、次の実践につながっていきます。

執筆者プロフィール

粕谷英雄
サマーオーシャンコンサルティング

ソフトウェア開発、情報システム刷新、DX推進などの実務知見をもとに、デジタル化に関する意思決定を支援。デジタルを経営に活かすための視点や推進の考え方を整理して発信しています。