サイバーセキュリティ経営の重要10項目

~サイバーセキュリティ経営の重要10項目 前編~

近年、テクノロジーやインターネットの技術進歩とともにサイバー攻撃の手法が複雑化していることはご存じでしょうか。情報を盗むだけでなく、システムへのアクセスを制限し、システムを復旧する代償として金銭を要求するウィルスも確認されており対策は必須です。企業でのサイバーセキュリティ対策の指針としては「サイバーセキュリティ経営の重要10項目」が非常に参考になります。今回は「サイバーセキュリティ経営の重要10項目」について解説します。

サイバーセキュリティ経営の重要10項目とは

「サイバーセキュリティ経営の重要10項目」とは、経営者がサイバーセキュリティ対策を実施する上で、責任者となる担当幹部に指示すべき10項目をまとめたものです。

経済産業省と情報処理推進機構(IPA)が合同で策定した「サイバーセキュリティ経営ガイドライン」に記載されています。このガイドラインは2度の改訂により最新の事例についても言及されており、サイバーセキュリティ対策を行う企業では必読です。「サイバーセキュリティ経営の重要10項目」には、サイバーセキュリティ対策担当幹部への実践的な指示内容が書かれています。

「サイバーセキュリティ経営ガイドライン」はこちらよりご覧いただけます。
サイバーセキュリティ経営ガイドライン Ver 3.0

サイバーセキュリティ経営の重要10項目の分類

本記事では指示1から指示6について解説します。

指示7から指示10についてはこちらの記事をご参考ください。
【ゼロからわかるサイバーセキュリティ入門】ーサイバーセキュリティ経営の重要10項目 後編ー

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定

指示1の具体的な内容は、サイバーセキュリティリスクを重要な問題として認識し、組織全体としての対応方針(セキュリティポリシー)を定め、対応方針を一般公開するなどして外部に公表することです。

組織全体としてのセキュリティポリシーを定めることで、問題が生じた際の対応が組織内で一貫したものとなり、被害を最小限に抑えることができます。従業員がいつでも確認できる場所に方針を記録しておくことも対応を一貫させるという点で有効です。
定めた方針を外部に公表することで、ステークホルダー(※1)の信頼性を高め、ブランド価値を向上させることにつながります。

(※1)企業組織におけるすべての利害関係者。株主、債権者、顧客、取引先等があたる。

サイバーセキュリティリスクの認識、組織全体での対応方針の策定

2. サイバーセキュリティリスク管理体制の構築

指示2の具体的な内容は、関係者の役割と責任を明確にした上で、組織の既存の体制と整合性の取れたサイバーセキュリティリスクの管理体制を構築することです。

関係者の役割と責任が定まっていないと、問題が発生した際に各自が最適な行動をとることができず、被害が拡大する恐れがあります。
サイバーセキュリティの管理体制を構築する際には、組織の既存体制と整合性を取ることで、組織内が分断し、指示命令系統が複数走ることが防げます。組織一丸となってサイバーセキュリティリスク管理体制をつくりましょう。

責任の所在を明らかにしましょう

3. サイバーセキュリティ対策のための資源(予算、人材等)確保

指示3の具体的な内容は、下記2つです。
・サイバーセキュリティリスク軽減のために必要な資源(予算、人材等)を確保した上で、具体的な対策に取り組む。
・組織内のサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施する。

サイバーセキュリティ対策のために必要な資源が確保できていなくては、充分な対策が取れず、資源を無駄にする恐れがあります。充分な予算がなくては、信頼できる外部組織に対策などを委託することもできません。
サイバー攻撃には、組織内の個人に攻撃を行い機密情報を盗み出す手法(※2)もあるため、組織の全員がサイバーセキュリティ対策に関する知識をつける必要があります。

(※2)標的型攻撃メールなどが該当。

サイバー攻撃の現状については、こちらの記事もご参考ください。
【ゼロからわかるサイバーセキュリティ入門】ー日本がサイバー攻撃をどれくらい受けているかー

何事も事前準備が重要

4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

指示4の具体的な内容は、自社と自社に関わるサイバーセキュリティリスクを明確にし、サイバー保険の活用や専門組織への委託を含めたリスク対応策を定めることです。

自社や自社製品・サービスなどのセキュリティリスクを明確にし、リスクの大きさを評価することで、資源を適切に配分し、自社にとって最適な対策を行うことができます。
特に守るべき情報については、サイバー保険(※3)に加入するなどしてリスクコントロールを実施することも有効です。またリスク分散なども有効ですが、分散後に自社に残るリスクを把握する必要があります。

(※3)サイバー事故・攻撃などの被害を受けた際に、復旧にかかる費用等を負担する保険。
保険に加入すると、攻撃を受けたとしても、自社の負担額が軽減されるのでリスクを減らすことができる。

リスクを正しく把握しましょう

5.サイバーセキュリティリスクに効果的に対応する仕組みの構築

指示5の具体的な内容は、サイバーセキュリティリスクに対応するために防御・検知・分析の各対策を実行する仕組みを構築し、環境の変化に合わせて見直しを適宜行うことです。

サイバーセキュリティリスクに効果的に対応する仕組みの構築

検知機能や分析機能が備わっていないと、サイバー攻撃が防御を突破した際に攻撃状況の把握ができず適切な対応をとることができません。防御を固めるだけでなく、検知機能・分析機能も組み込む必要があります。
リモートワーク制度の導入や、事業変更などにより環境が変化すると、セキュリティリスクも変化するため、適宜仕組みの見直しを行うことが重要です。

防御が必要

6.PDCAサイクルによるサイバーセキュリティ対策の継続的改善

指示6の具体的な内容は、サイバーセキュリティリスクの特徴を踏まえたPDCA サイクルを運用することで、問題の発見・改善を継続的に行い、改善状況を外部に開示することです。

PDCAサイクルとは、目標達成のためにPlan[計画]、Do[実行]、Check[実施状況の確認・評価]、Act[改善]の4ステップを繰り返し行うことで、組織での目標達成や業務改善のために用いられます。
1サイクルごとに計画を作り替えるという点で、リスクの変化に対応することが可能であり、定期的に計画を変更する必要があるサイバーセキュリティリスクへの対策においても有効です。
問題の改善状況を外部に開示することで、企業価値を高め、ステークホルダーの信頼を得ることができます。

PDCAサイクルによるサイバーセキュリティ対策の継続的改善

まとめ

「サイバーセキュリティ経営の重要10項目」とは、経営者がサイバーセキュリティ対策を実施する上での責任者となる担当幹部に指示すべき10項目をまとめたものです。

サイバーセキュリティリスクを対策するためには、充分に準備を行った上でリスク管理体制を構築し、状況の変化に応じて適宜対策の見直しを行うことが重要です。

株式会社GENZでは、ITに関するお困りごとに幅広く対応しております。
サイバーセキュリティリスクの対策をしたいけれど何からしてよいかわからない、という場合でも大丈夫です。脆弱性診断の結果をもとに、お客様のシステムに合った対策を提案させていただきます。システムの機能面に不安があれば、システムテストと脆弱性診断を一括でご依頼いただくことも可能です。

GENZと共にお客様のシステムをより良いものにしてみませんか。

お問い合わせ