経営者は必読!サイバーセキュリティ経営ガイドライン

最近は企業規模を問わず多くの企業でサイバー攻撃を受け、個人情報流出など深刻な被害を被ることが増えてきました。特にインターネット上でサービスを展開し会員情報など消費者から個人情報を取得する場合、情報流出によってその後のサービス運営に影響を及ぼすことがあるためセキュリティに関して高い意識が求められます。

昨年11月に経済産業省がリリースした「サイバーセキュリティ経営ガイドライン」では、特に大企業と中小企業(小規模事業者除く)の経営者に対して、社内でサイバーセキュリティ対策を推進するための指針を示されています。今回はこのガイドラインから、特に重要だと思われることをピックアップしてご紹介します。

サイバーセキュリティは経営問題

通常、経営者は消費者や取引先、株主など従来のステークホルダーを意識して経営していますが、サイバー攻撃を仕掛ける個人・団体に対しては特に意識してきませんでした。そのため、経営者はセキュリティ対策を「コスト」を捉え、将来の事業活動・成長に必須なもの=「投資」と捉えていない場合が多いと考えられます。しかし、今後はどの企業においてもAIやビッグデータなどITの活用は経営と切り離せないテーマですので、セキュリティ投資を必要不可欠かつ経営者の責務として取り組む必要があります。セキュリティ投資を渋ったことでサイバー攻撃を受ければ、投資以上の被害が生じる可能性が十分にあります。それを防ぐために、まずは経営者が高い意識を持ち、セキュリティ対策に予算を割き、早急に社内インフラを再構築していくことが求められています。

経営者が認識すべき3原則

本ガイドラインでは経営者が認識すべき3原則を示しています。各原則の詳細はガイドラインをご確認ください。

  1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社はもちろんのこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
サイバーセキュリティ経営の重要10項目

経営者の高い意識は必要ですが、それに加えて実際に社内で対策を考え実施するためにセキュリティ責任者を設置することが理想です。セキュリティ対策の取り組みが進んでいる企業ではCISO(Chief Information Security Officer=最高情報セキュリティ責任者)というポジションを新たに設け、権限と責任を与えセキュリティ対策を推進しています。自社内で適した人材が不在の場合は、セキュリティのプロとして社外から人材採用することも考慮すべきです。そして、その責任者に対して次の重要10項目を指示しましょう。

指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定

指示2:サイバーセキュリティリスク管理体制の構築

指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保

指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

指示5:サイバーセキュリティリスクに対応するための仕組みの構築

指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施

指示7:インシデント発生時の緊急対応体制の整備

指示8:インシデントによる被害に備えた復旧体制の整備

指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

各指示の詳細は本ガイドラインをご確認ください。

今後のビジネス環境においてサイバー攻撃は政治や為替など従来のリスクと同等(もしくはそれ以上)の被害を企業に与えます。経営者はセキュリティに対する意識と知識を持ち、早急に身近なセキュリティ専門家に相談したほうがよいのではないでしょうか。

 (参考情報)経済産業省「サイバーセキュリティ経営ガイド」

セキュリティ関連書籍

関連記事

  1. 約40%の企業で新卒採用サイトにSSLを導入

  2. SSLサーバ証明書をサーバに設定するならここがオススメ

  3. ロリポップでも無料SSLが使えるようになりました!

  4. Zenlogicの高負荷障害を体験して思うこと

  5. 国内のデータ産業が抱える課題と今後の施策

  6. 企業がレンタルサーバを契約する時に必ず検討すべきこと