IT Insight
政府が推進するサイバーセキュリティ経営とは?
レンテックインサイト編集部
経済産業省は、企業の経営者に向けて「サイバーセキュリティ経営ガイドライン」を公表しています。このガイドラインは、高度化するサイバー攻撃に備えて企業が取るべき対策や基本的な考え方をまとめたものです。経営者や情報システム部門の担当者は、このガイドラインを参考にしながらサイバーセキュリティ経営に取り組んでいくとよいでしょう。
本記事では、「サイバーセキュリティ経営ガイドライン」の要旨を分かりやすく解説します。
なぜサイバーセキュリティ経営が求められるのか?
「サイバーセキュリティ経営ガイドライン」には、企業が持つ個人情報や機密情報などを盗み取ったり、企業が使用しているシステムを停止させたりするサイバー攻撃の件数が増加傾向にあり、約4割の企業がサイバー攻撃を受けた経験があることが示されています。また、そもそもサイバー攻撃を受けたことに企業が気付いていない可能性も高く、実際にはより多くの企業がサイバー攻撃の被害に遭っているという予測も立てられています。
このようにサイバー攻撃の脅威が増しているにもかかわらず、多くの企業は十分なセキュリティ対策を実施できていません。その結果、サイバー攻撃によって重大な損害が発生する事件が発生しています。場合によっては、自社だけでなく社会に重大な影響を与えてしまい、経営責任や法的責任が問われる可能性もあります。
IT活用がますます普及していくこれからの時代において、企業が事業を継続するためには「サイバーセキュリティ経営」が求められます。経営者はサイバー攻撃の脅威を正しく認識し、ITとセキュリティ対策への投資を同時に行わなければなりません。万全なセキュリティ対策によってITを最大限に活用できれば、企業価値の向上も実現できます。
経営者が認識すべき3原則とは?
「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき三つの原則が掲げられています。
1.経営者はサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2.自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3.平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
出典:「サイバーセキュリティ経営ガイドライン」(経済産業省 独立行政法人 情報処理推進機構)
この三つの原則からは、企業は自社だけでなく、外部企業とも適切なコミュニケーションをとりながらセキュリティ対策に取り組むべきであることが分かります。
例えば、自社のセキュリティ対策が万全であったとしても、取引先がサイバー攻撃に対して無防備であれば自社が提供した機密情報が流出するかもしれません。しかし、取引先も含めてセキュリティ対策が徹底されていれば、安心して取り引きを継続できます。
また、自社で実施しているセキュリティ対策の内容を取引先と共有していれば、万が一自社がサイバー攻撃を受けたとしても、取引先が必要以上に不信感を抱かなくなるでしょう。
広い視野を持ち、自社だけでなく他社に対してもリーダーシップを発揮して、セキュリティ対策に取り組める経営者が理想であるといえるでしょう。
サイバーセキュリティ経営の重要10項目とは?
「サイバーセキュリティ経営ガイドライン」には、セキュリティ対策を実施する上での責任者となる担当幹部(CISO:Chief Information Security Officer)に対して、経営者が指示すべき10項目が示されています。それぞれの内容や目的を簡単に見ていきましょう。
1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
経営者が企業の経営方針とともにセキュリティ方針を策定し、社内外に公表することで、従業員や取引先などに対して自社の姿勢を示すことができる。
2. サイバーセキュリティリスク管理体制の構築
サイバーセキュリティリスクの管理体制を構築し、責任範囲を明確にすることで、セキュリティ対策に対して組織的に取り組むことができる。
3. サイバーセキュリティ対策のための資源(予算、人材等)確保
適切な予算を確保することで、セキュリティ対策への投資や必要な人材の確保、従業員への教育を行うことができる。
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
自社内でサイバー攻撃から守るべき情報を特定し、それらがどこに保存されているかや、想定されるリスクを把握しそれに対応するための計画を策定することで、適切なセキュリティ対策を実施できる。
5. サイバーセキュリティリスクに対応するための仕組みの構築
情報端末やネットワーク、システムなどにセキュリティ対策を実施するとともに、アクセスログや通信ログなどからサイバー攻撃を監視・検知する仕組みを構築することで、サイバー攻撃の被害を最小限に抑えることができる。また、従業員に対する教育や注意喚起を行うことで、サイバー攻撃への適切な対処が行えるようになる。
6. サイバーセキュリティ対策におけるPDCAサイクルの実施
セキュリティ対策を定期的に見直すことで、新たに発生したサイバー攻撃手法などの脅威にも対応できるようになる。
7. インシデント発生時の緊急対応体制の整備
サイバー攻撃による被害を受けた際の対応体制を整備しておくことで、原因の特定や取引先への連絡、再発防止の対策を速やかに実施できる。
8. インシデントによる被害に備えた復旧体制の整備
サイバー攻撃によって業務停止に陥った場合に、復旧するための手順やいつまでに復旧すべきかの目標を定めておくことで、企業経営に致命的な影響を与えずに速やかに復旧できるようになる。
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
セキュリティ対策の内容を明確にした上で取引先と契約を交わしたり、取引先のセキュリティ対策状況の報告を受けて把握したりすることで、自社を含むサプライチェーン全体のセキュリティリスクを軽減できる。
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
情報共有活動に参加してサイバー攻撃の手法などを共有することで、社会全体でサイバー攻撃の防御ができるようになる。
出典:「サイバーセキュリティ経営ガイドライン」(経済産業省 独立行政法人 情報処理推進機構)
サイバーセキュリティは経営者主導で行うべき重要課題
高度化するサイバー攻撃を防ぐためには、現場任せではなく経営者がリーダーシップを発揮していく必要があります。サイバーセキュリティが万全であれば、ITのメリットを最大限に享受して企業の成長につなげることができるでしょう。「サイバーセキュリティ経営ガイドライン」を参考にしつつ、自社の改革に取り組んでみてはいかがでしょうか。
IT Insightの他記事もご覧ください
