情報セキュリティマネジメント試験 情報セキュリティマネジメント試験 平成29年度秋期 午前 問1: 経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン（Ver 1.1）”に従った経営者の対応はどれか。

問題本文

経済産業省と IPA が策定した“サイバーセキュリティ経営ガイドライン（Ver 1.1）”に従った経営者の対応はどれか。

選択肢

• ア.緊急時における最高情報セキュリティ責任者（CISO）の独断専行を防ぐために，経営者レベルの権限をもたない者を CISO に任命する。
• イ.サイバー攻撃が模倣されることを防ぐために，自社に対して行われた攻撃についての情報を外部に一切提供しないよう命じる。
• ウ.サイバーセキュリティ人材を確保するために，適切な処遇の維持，改善や適切な予算の確保を指示する。
• エ.ビジネスパートナとの契約に当たり，ビジネスパートナに対して自社が監査を実施することやビジネスパートナのサイバーセキュリティ対策状況を自社が把握することを禁止する。

正解

ウ. サイバーセキュリティ人材を確保するために，適切な処遇の維持，改善や適切な予算の確保を指示する。

解説

サイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則と、CISO等に指示すべき重要10項目を示した文書である。経営者にはリーダーシップによる対策推進、必要な資源（予算・人材）の確保、ビジネスパートナを含めたサプライチェーン全体の対策、適切な情報共有などが求められる。正解はウで、人材確保のために適切な処遇や予算の確保を指示することはガイドラインの趣旨に合致する。

選択肢ごとの解説

• ア.誤り。CISO には組織横断的に対策を統括できるよう、経営者レベルの権限を与えるべきであり、権限をもたない者の任命は不適切である。
• イ.誤り。ガイドラインは攻撃情報を関係機関や業界と共有し、被害拡大防止に役立てることを推奨しており、情報を一切提供しないのは趣旨に反する。
• ウ.正しい。サイバーセキュリティ人材の確保・育成のため、適切な処遇や予算を確保することは、ガイドラインが経営者に求める重要項目である。
• エ.誤り。サプライチェーン全体のセキュリティ確保のため、ビジネスパートナの対策状況の把握や監査はむしろ実施すべきで、禁止は不適切である。