この状況を受けて、経済産業省は2017年11月に「サイバーセキュリティ経営ガイドライン」を改訂、企業経営者に対し、「サイバーセキュリティ」は経営リスクの一つだと明確に警告しています。また、2017年5月の改正個人情報保護法に続き、欧州でもGDPR(General Data Protection Regulation:一般データ保護規則)が2018年5月に施行され、企業に対する個人情報保護責任を求める動きは強くなっています。もはや、サイバー攻撃対策は、情報システム部門だけが責任を負うものでなく、企業全体の経営課題として取り組むべき状況にあると言っても過言ではありません。
※1 出典:独立行政法人情報処理推進機構「企業のCISOやCSIRTに関する実態調査2017」
標的型攻撃などのサイバー攻撃は、発覚までに時間がかかり、約半数が外部からの指摘で発覚するといいます。これをうけて「サイバーセキュリティ経営ガイドライン Ver 2.0」では、感染防止などの事前対策だけでなく、攻撃の「検知」、「対応」、「復旧」などの「事後対策」を求めています。