令和３年度サイバー・フィジカル・セキュリティ対策促進事業（サイバーセキュリティ経営に関する調査）調査報告書

この報告は、令和3年度に実施されたサイバー・フィジカル・セキュリティ対策促進事業におけるサイバーセキュリティ経営に関する調査について書かれた報告書である。経済産業省が産業サイバーセキュリティ研究会ワーキンググループ2において進める段階的なサイバーセキュリティ経営の実現に向けた取組として、企業におけるセキュリティ人材の活躍モデルの提示や各地域でのセキュリティコミュニティ形成に向けた取組が実施された。調査は三つの主要な項目で構成されており、第一にサイバーセキュリティ経営ガイドラインの改訂及び可視化ツール普及促進に向けた調査が行われた。これには経営ガイドラインの改訂方針案の作成、ユーザ系企業10社とベンダ系企業3社を対象とした企業調査、機関投資家8者へのヒアリング調査、海外企業8社と国内企業7社の動向調査、そして6名の有識者による9回のタスクフォース開催が含まれる。第二にサイバーセキュリティ人材活躍モデルの構築のための調査では、企業のサプライチェーンセキュリティ対策体制や人材のキャリア事例、OT・IoT分野のセキュリティ体制の実態について調査が実施された。さらに有識者10名へのヒアリング調査や文献調査、政府機関における議論の把握が行われ、セキュリティ体制構築・人材確保のための手引きの内容拡充と政策的課題の洗い出しが実施された。第三に情報セキュリティサービス活用・普及に関する調査として、有識者10名による検討会を3回開催し、情報セキュリティサービス審査登録制度の活用・普及に関する議論と基準等の改訂支援が行われた。調査結果として、デジタル化の進展に伴いユーザ企業とベンダー企業の区分が変化し、プラス・セキュリティの対象が拡大していることが明らかになった。これらの変化に対応するため、手引きの改訂では想定読者をユーザ企業に限定せず複数のユースケースに応じた使い方を示す方針が採られ、継続的な改善の必要性が示された。