海の向こうの“セキュリティ”

これは“とっつきやすい”かも! オランダ版「サイバーセキュリティ経営ガイドライン」が日本のものと比べてかなりコンパクト

経営層がすべきことを具体的に提示

  • 山賀 正人

2025年10月14日 06:00

 オランダのサイバーセキュリティ評議会(Cyber Security Raad、以降「CSR」)は8月、あらゆる組織の取締役(director)や経営者(business owner)、監査役会(supervisory board)メンバーを対象としたサイバーセキュリティガイドの英語版「Guide to cyber security for directors and business owners(取締役および事業主のためのサイバーセキュリティガイド)」を公開しました。これは、6月に公開されたオランダ語版を英語に翻訳したもので、対象となる組織は、規模の大小や官民を問いません。

 日本でも経済産業省と情報処理推進機構(IPA)が策定した「サイバーセキュリティ経営ガイドライン」が2015年から提供されており、本稿執筆時点の最新版としてバージョン3.0(英語版もあり)が公開されています。今回オランダから公開されたガイドも、趣旨としては基本的に同様のものと捉えて差し支えないでしょう。ただし、日本のものと比べてかなりコンパクトな仕上がりになっています。

 なお、CSRはオランダ政府および経済界による国家レベルの独立諮問機関であり、官民双方の組織および科学界の高位の代表者から構成されており、オランダのサイバーセキュリティ強化を担っています。

 ところで、EUではサイバーセキュリティに関する規制として、「NIS(Network and Information Systems Directive)2」や「DORA(Digital Operational Resilience Act)」が知られていますが、NIS2は重要インフラ事業者などの主要事業体や重要事業体のみを対象とし、DORAは金融業界のみを対象としています。これに対し、今回公開されたガイドは、NIS2やDORAなどの規制の対象とならない組織にも役立つように作られています。

 また、このガイドはオランダの観点から作られているため、オランダの法律を参照していますが、紹介されている知見自体はオランダ以外でも広く適用可能であるとしています。実際に内容には普遍性があり、日本の企業や組織でも十分に役立つ情報が掲載されています。

 そこで今回はこのガイドから一部を抜粋して簡単に紹介します。なお、このガイドでは「director(取締役)」という単語を、単に取締役の意味だけでなく、経営者や監査役会メンバーも含めた意味で使っています。

 このガイドは、表紙や目次、謝辞、付録などを含めてPDFで全23ページ、見開き2ページでPDFの1ページにまとめられており、本文自体の正味は20ページ弱。パンフレットに近いイメージで非常にコンパクトにまとめられており、以下のような構成となっています。なお、本文の各項目は最大で2ページ半、ほとんどの項目は2ページ以内に収まっており、半ページのみの項目もあります。

  1. このガイドの対象者
  2. このガイドはなぜあなたにとって重要なのですか?
  3. 目指す先はあなたの組織のサイバーセキュリティとレジリエンスです
  4. あなたは取締役としてどのような質問をすべきですか?
  5. あなたのサイバーリスクを効果的に軽減するために優先順位をつけてください
  6. 継続的な監視 - ガバナンス
  7. あなたの経営責任の法的側面
  8. サイバーリスクに対する責任はあなたの組織内のみにとどまりません
  9. 外部報告義務
  10. 効果的な取締役研修
  11. 常に実情を把握して必要に応じて改善してください
  12. トップの適切な姿勢を示してください - 率先垂範
  13. 謝辞
  14. 付録
    - 付録1:略語・用語一覧
    - 付録2:サイバーリスク(網羅的ではない)一覧
    - 付録3:取締役向けチェックリスト
    - 付録4:特定のオランダの法定要件に関する詳細情報

 この中からまず「4. あなたは取締役としてどのような質問をすべきですか?」を紹介します。ここでは、最初に取締役が自分自身および共同取締役(co-director)に問うべきこととして、以下の8項目が挙げられています。

  • どの程度のリスクを負う覚悟があるか?
  • リスク許容度はどの程度か?
  • 自組織に生じる混乱はどの程度まで許容できるか?
  • 企業スパイ活動によりノウハウや知的財産が競合他社に流出した場合、どの程度の損害が生じるか?
  • サイバーインシデントで新聞の一面を飾ることは、どの程度の深刻さか?
  • 個人データの漏えいが発生した場合、どのような結果になるか?
  • サイバーインシデントへの対応にどの程度の予算を割り当てる用意があるか?
  • サイバー恐喝(ランサムウェア)にどのように対処するか?

 また、取締役として、最高情報セキュリティ責任者(CISO)に投げ掛けるべき具体的な質問については、国家サイバーセキュリティセンター(Nationaal Cyber Security Centrum、以降「NCSC」)が提供している「取締役がCISOに尋ねるべき質問リスト」を指針として紹介しています。

 その重要な質問の例として以下の17項目を挙げています。

  • 自社のICTシステムは何であり、最新の資産台帳は存在するのか? 文書化されていないICT(シャドーICT)はどの程度存在するのか?
  • 組織に対する主な脅威は何であり、その理由は? 脅威主体、その戦術・手法、意図しない混乱のリスクを考慮すること。
  • サプライヤーによるサポートが終了したレガシーシステムは存在するか? 段階的廃止計画は存在しているか? それまでのリスク軽減策は?
  • 顧客や社会全体にとって自社製品とサービスのサイバーセキュリティはどれほど重要か?
  • 主な統制措置は何であり、その現状は?
  • 統制措置の欠如や不備が生じた場合の結果は? 改善策は?
  • 主要なICTシステムはレジリエンステスト(レッドチーム演習)を受けているか?
  • インシデント対応および復旧計画は存在するか? それはテストしているか?
  • ICT障害時の代替計画(プランB)は存在するか? どのような緊急時対応オプションが用意されているか?
  • 残存リスクの規模はどれくらいか? リスク許容範囲内か?
  • ICTサプライヤーへの主要な依存関係を把握しているか? その依存に伴うリスクをどのように管理しているか?
  • サイバーセキュリティに割り当てているリソースは十分かつ効果的か?
  • アクセスを厳しく制限する、またはアクセス許可は物理的な場所でのみとするほど重要なシステムはどれか?
  • 企業として、また取締役として、サイバーリスクに対して十分な保険をかけているか?
  • どのような状況であれば恐喝による要求に応じることを検討するか?
  • 自社の従業員はサイバーセキュリティに関してどの程度の訓練を受けているか?
  • 自社のサイバーセキュリティは同業他社と比べてどうなのか?

 そのうえで取締役に対しては、これらの質問への回答に加えて組織内外における主要なサイバーインシデントや新たな脅威、規制の動向に関する状況報告を定期的(四半期ごと)に受け取る必要があるとしています。また、同時にCISOに対しては、リスク状況を大きく変えるような展開(好転・悪化を問わず)があれば、それを明確化し、適切な対策とリソースを提案する必要があるとしています。

 次に「付録3:取締役向けチェックリスト」を紹介します。ここでは以下の8項目が挙げられています。

  • 取締役を対象とした全員参加型の研修を実施し、サイバーリスク管理の実施に関する情報に基づいた意思決定と監督を可能にする。CISOに自組織の脅威状況をマッピングするよう求める。
  • あなたのリスク許容度を決める。
  • サイバーリスク戦略とサイバーセキュリティリスク管理のための一連の措置の策定・提出、正式な承認を求める。
  • 最上位のKCI(Key Control Indicators:重要コントロール指標)の提案、目標設定、四半期ごとの測定と報告を求める。インシデント対応および復旧計画を策定してテストを実施する。
  • サイバーリスク戦略の設定・監視・報告に関する明確な権限と報告ラインをあなたのサイバーガバナンスに組み込む。CISOが十分なリソース・自律性・支援を確実に得られるようにする。
  • 自組織に関連する規制要件の特定およびコンプライアンス確保のための計画の策定を求める。
  • 適用される規制の下で責任を問われる可能性のある個人または役割を特定し、適切な賠償責任保険を手配する。
  • あなたがCISOに対して関連する全ての質問をしたか確認する。

 ここで、KCI(Key Control Indicators:重要コントロール指標)については「5. サイバーリスクを効果的に軽減するために優先順位をつけてください」で具体例を挙げて紹介しています。また、CISOに対する質問については、先ほど紹介した「4. あなたは取締役としてどのような質問をすべきですか?」を参照してください。

 日本の「サイバーセキュリティ経営ガイドライン」がかなりびっしりと文字で埋められた「重い」文書であるのに対し、今回のオランダのガイドは比較にならないほどコンパクトに簡潔にまとめられており、圧倒的に「とっつきやすい」ものに仕上がっています。ただし、これはオランダのガイドの方が優れているという意味ではなく、アプローチの仕方が異なるに過ぎないことに注意してください。また、「とっつきやすい」とは言っても、ICTに関する知識をまったく持ち合わせていない経営者でも問題なく読めるレベルの内容かは微妙なところで、経営者によっては解説する人が必要かもしれません。

 それでも、経営層がすべきことは具体的に書かれていますし、普遍性がある内容なので、日本の企業や組織にも十分に参考になるところがあるのは間違いありません。英語で書かれているという言語の壁はあるかもしれませんが、自組織の経営層が日本の「サイバーセキュリティ経営ガイドライン」の前に最初に触れる「読み物」として使える部分があるか、まずは検討してみるだけでも価値はあるでしょう。

URL
Cyber Security Council(2025年8月14日)
Guide to cyber security for directors and business owners
https://www.cybersecuritycouncil.nl/documents/2025/08/14/guide-to-cyber-security-for-directors-and-business-owners
Cyber Security Raad(2025年6月4日)
Handreiking Cybersecurity voor Bestuurders en Bedrijfseigenaren(※オランダ語版)
https://www.cybersecurityraad.nl/documenten/2025/06/04/handreiking-cybersecurity-voor-bestuurders-en-bedrijfseigenaren
まるちゃんの情報セキュリティ気まぐれ日記(2025年9月9日)
オランダ サイバーセキュリティ評議会 役員および事業主のためのサイバーセキュリティガイド(2025.08.14)
http://maruyama-mitsuhiko.cocolog-nifty.com/security/2025/09/post-aa67d2.html
経済産業省
サイバーセキュリティ経営ガイドラインと支援ツール
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。