サイバーセキュリティ・ガバナンス強化に向けた経営層への提言「可視化データによるサイバーセキュリティ透明化とガバナンス強化」をセキュリティ・トランスペアレンシー・コンソーシアムが公表
～サイバーセキュリティ経営のための可視化データ活用～

SBOM^※1などの可視化データ^※2を活用する際に「つかう側」が直面する問題・課題解決に取り組んでいる「セキュリティ・トランスペアレンシー・コンソーシアム（Security Transparency Consortium、会長：情報セキュリティ大学院大学　後藤厚宏、以下　「本コンソーシアム」）」^※3において、NTT株式会社および日本電気株式会社を主査、副主査を務める、多様な事業者で構成されるワーキンググループは、経営層によるサイバーセキュリティの適切な判断と統治を実現するための提言書「可視化データによるサイバーセキュリティ透明化とガバナンス強化」を2026年3月24日に公表しました^※4。今回の提言は、従来IT・セキュリティ部門に委ねられがちであったサイバーセキュリティ対策の重要性について、経営層が再認識するきっかけとなるものです。また、サイバー被害が取引先や社会全体への波及を未然に防止するため、官民連携の強化が求められる中で、本提言はその動きにも関連しています。さらに、これから可視化データの活用を検討している様々な業界の経営層にとって、有用な指針となることが期待されます。

1．背景と目的

サイバー攻撃は年々増加傾向であり、手口も巧妙化しています。そのため、企業戦略としてセキュリティに対する投資や経営層による適切な判断の重要性が高まっています。2023年に経済産業省と独立行政法人情報処理推進機構（IPA）で公表した「サイバーセキュリティ経営ガイドラインVer3.0」では、経営層に求められる「役割」と「対応事項（努力義務）」が明示されています。さらに、海外では、サイバー被害や脆弱性に関する報告義務や罰則も伴う法制度が整備されつつあり、国内においても2025年にサイバー対処能力強化法が公布されました。こうした中、被害拡大を防ぐための可視化は、経営層にとって非常に重要な関心事となっています。本コンソーシアムでは、可視化が不十分であったことにより被害が拡大したインシデント事例を踏まえ、経営層の意思決定に資する可視化データのあり方について提言します。

2．「可視化データによるサイバーセキュリティ透明化とガバナンス強化」の概要

本提言では、昨今のインシデント事例を、サイバーセキュリティに関する六つの経営層責任である「ガバナンス上の経営責任」、「法的・規制対応責任」、「説明責任・信頼責任」、「予見・予防責任」、「対応・監督責任」、「倫理的責任」の観点から分析しています。この分析結果から、経営者をサポートする可視化データを「資産や事業のリスク」、「セキュリティ状況」、「サプライチェーン」、「説明責任」の4分類に定義しました。そして、可視化データがどのように役立つのかを具体的に示し、可視化データの特定、収集、分析、活用の各段階において、経営層が為すべきことについて提言しています。

3．今後の展開

本コンソーシアムは、多様な事業者と共に、可視化データ活用における問題・課題の解決策を引き続き共創していきます。IT・セキュリティ部門の実務者向けの可視化データの実装に関する提言書も現在検討中しており、本コンソーシアムのウェブサイト^※5にて、順次公表していく予定です。さらに、本コンソーシアムの参加事業者の拡大にも継続して取り組んでおり、ウェブサイト^※6にて新たな参加事業者の募集を行っています。