Nihon Cyber Defence

ACD法が経営者に突きつける新たな課題とは?

能動的サイバー防御(ACD)法の施行により変わる経営者の役割とサイバーリスク対応。コンプライアンスとレジリエンス確保に向け企業が取り組むべき課題について、詳しく解説します。

Japanese train conductor on platform, preparing for departure highlighting metro rail as part of Japan’s critical infrastructure.
ACD法の施行により、重要国家インフラ事業者の経営層はより厳格なリスク管理・ガバナンスが求められている

能動的サイバーセキュリティ – 新時代の幕開け

能動的サイバー防御(ACD)関連法の成立により、国家としてのサイバーセキュリティ戦略が大きな転換期を迎えました。従来の「受動的」な対応から「能動的」な取り組みへの移行が、本格的に求められています。

サイバーセキュリティ対応はもはやIT部門だけの課題ではありません。

経営層が主体的に判断・実行すべき経営課題であり、サイバー脅威を早期に検知・対応できる体制の構築が急務となっています。

ACD法の施行 - 経営層に求められる対応

  1. 経営陣主導のリスク管理:サイバーセキュリティはもはや、IT部門のみが担う技術的課題ではなく、経営層が統括すべき経営リスクです。取締役会や経営陣は、サイバーレジリエンスを事業経営における重要リスク領域として認識し、対応することが求められます。

  2. 迅速な報告体制の構築:重要国家インフラ分野の事業者(基幹インフラ事業者)は、セキュリティインシデント発生から24時間以内に適切な規制当局に報告することが義務付けられています。経営陣は、組織内のガバナンス体制を整備し、迅速な報告・対応体制を構築することが求められます。

  3. プロアクティブなリスク管理:組織は、従来の受け身的なセキュリティ対応体制から逸脱し、プロアクティブな体制に移行することが期待されます。具体的には、重要システムの事前届出、国のサイバーセキュリティ機関とのメタデータの共有などが挙げられます。

  4. サプライチェーンの監視・監督: ACD関連法への準拠は、組織のサプライチェーン・委託事業者も対象になります。組織の経営陣は組織外のリスク管理も必要になります。
ACD Compliance FAQ

よくある質問(FAQ)

ACDコンプライアンスの実務ガイド

Q:ACD法上、経営者の個人責任が問われることはありますか。
個人責任は問われません。しかし、経営層はより厳格にサイバーセキュリティのリスク管理を行い、責任を持つ必要があります。そのため、適切な監督体制と人員配置が必要です。
Q:ACD法の適用範囲はITシステムのみですか。
いいえ。ACD法は、運用技術(OT)や重要な業務プロセス、サプライチェーン全体も適用範囲となります。企業は包括的・全社的な対応体制が求められます。
Q:インシデント発生から何時間以内に報告する必要がありますか。
ACD法では、重大なサイバーインシデントの特定から24時間以内に報告を行うことが求められています。そのためには、インシデント発生時のエスカレーション体制を事前に整備し、経営層が直接インシデント管理に関わることが極めて重要です。
Q:能動的防御に関して、企業は何を求められていますか。
必要な経営資源を投入し、インシデントの早期検知および継続的監視を実現するとともに、必要なデータをサイバーセキュリティ機関と共有することです。これにより、従来の受け身型の防御体制からの脱却が図ることができます。
toshio-nawa
名和利男

最高技術責任者(CTO)

軍務およびJPCERT/CCでの経験を経て、2018年に日本サイバーディフェンス株式会社に入社し、CSIRTおよび脅威インテリジェンスのアドバイザリーを専門としている。

Edit Template

サイバー成熟度評価 ​

日本サイバーディフェンス(NCD)では、組織のサイバーセキュリティ能力を包括的に診断する「サイバー成熟度評価サービス」を提供しています。このサービスは、現状の課題や強みを明確化し、組織が直面するリスクに対して最適な対策を講じるための土台を築くものです。さらに、全体的なセキュリティ態勢を強化するための戦略的なロードマップをご提案し、実効性のある改善計画をサポートします。

サイバーセキュリティフレームワーク(NIST)

国立標準技術研究所

サイバー評価フレームワーク(CAF)

国家サイバーセキュリティセンター

その他の記事を読む

リーダーシップとサイバーレジリエンス(耐性):ノーブル氏の視点​

サイバーセキュリティは経営課題。ジョン・ノーブル氏が、リーダーが組織のサイバーレジリエンスを高めるために問うべき重要なポイントを解説。...

NCD サイバー脅威インテリジェンス:Gelsemium APTグループ について

中国系APTグループ「Gelsemium」が日本企業を標的にしたサイバースパイ活動を強化。高度なマルウェアを駆使する脅威の実態と、防御策を詳しく解説。...

日本企業がランサムウェアの脅威を克服する方法

ランサムウェア攻撃が日本企業の脆弱性を露呈。組織のレジリエンスを強化し、サイバー攻撃に対抗する実践的な戦略を解説。...

金銭的影響を超えて:サイバー攻撃の真の代償

サイバー攻撃の影響は金銭的損失だけではありません。重要インフラの停止、安全保障の脅威、実社会への影響を徹底分析。Dougie Grant氏が解説する、サイバーリスクの真の代償とは。...
Edit Template