経済産業省は2025年5月、サイバーリスクの高まりを受け「産業界へのメッセージ」を発表しました 。
本メッセージでは、サイバーセキュリティ対策はもはやIT部門だけの課題ではないとし、特に企業・団体の経営層に対し、自らがリーダーシップを発揮して全社的に対策を推進するよう強く求めています 。
経営層へのメッセージ
経済産業省は、サイバーセキュリティ対策に関して、経営層が特に強化すべき3つの取り組みを提示しています 。
1.セキュア・バイ・デザインの実践
IT製品やサービスを導入する際に、設計段階からセキュリティが確保されている「セキュア・バイ・デザイン」の考え方を重視するよう求めています 。
具体的には、国の基準を満たしたIoT製品を示す「JC-STARラベル」の取得済み製品を優先的に購入するなど、製品・サービスの提供事業者に対して高いセキュリティ水準を求めることを推奨しています 。
2.サプライチェーン全体での対策促進
自社だけでなく、サプライチェーンを構成するビジネスパートナー全体のセキュリティレベル向上が不可欠であると指摘しています 。
特に大企業に対しては、パートナーシップ構築の観点から、取引先の中小企業に「サイバーセキュリティお助け隊サービス」といった公的支援策の活用を促すなど、積極的な働きかけを期待しています 。
3.価値創造経営の一環としての位置付け
サイバーセキュリティへの投資を単なるコストとしてではなく、中長期的な企業価値向上につながる「価値創造経営」の一環として位置付けるべきだと強調しています 。
その上で、セキュリティ投資と企業価値の関連性について、投資家をはじめとするステークホルダーの理解を得るため、対話や積極的な情報開示を行うことを求めています 。
経営層の意思決定を支える人材育成部門の役割
本メッセージは、経営層がサイバーセキュリティを技術課題ではなく経営課題として捉えることの重要性を強調しています。
人材育成・キャリア支援担当者には、経営層が的確な意思決定とリーダーシップを発揮できるよう、最新の脅威動向や対策の重要性に関する情報提供・研修を企画することが求められます。
また、ガイドラインで経営者の指示事項として「予算・人材等のリソース確保」が挙げられていることから 、必要な人材像や育成計画を具体的に策定し、その投資が企業価値向上にどう貢献するのかを明確に示しながら経営層に提案することが、これまで以上に重要になるでしょう。
関連記事を見る
・情報セキュリティ5か条を実践するには?3ステップで従業員の意識を向上
https://www.lightworks.co.jp/media/information-security-5-rules/
・情報セキュリティ研修のテストの作り方は?すぐに使える公的資料を紹介
https://www.lightworks.co.jp/media/information-security-test-training-materials/
・情報セキュリティ教育とは?形骸化させない効果的な手法を解説
https://www.lightworks.co.jp/media/information-security-education/
・インシデントに強い組織を作る情報セキュリティ教育とは?
https://www.lightworks.co.jp/media/information-security-incident/
・【計画シート有】情報セキュリティリテラシーとは?効果的な教育・研修方法を徹底解説
https://www.lightworks.co.jp/media/information-security-literacy/
・内部統制報告書を見据えた、実効性の高い情報セキュリティ教育の実践ガイド
https://www.lightworks.co.jp/media/internal-control-information-security/
資料の詳細は、以下をご覧ください。
経済産業省, 産業界へのメッセージ(令和7年5月23日),
https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/pdf/20250523.pdf
