経済産業省と独立行政法人情報処理推進機構は、平成27年12月28日に「サイバーセキュリティ経営ガイドライン」を公表しました。
サイバーセキュリティについて経営者に向けた国が発行する指針は初めてのものです。しかもその対象として「大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者」とあります。現在、ほとんどの企業が「経営戦略上ITの利活用が不可欠」と考えられるため、小規模事業者を除くほぼすべての企業が対象であると考えられます。
「サイバーセキュリティ経営ガイドライン・概要」の冒頭で「サイバーセキュリティは経営課題」と明記されています。すなわち、すべての経営者はサイバーセキュリティ対策を経営課題としてとらえ、担当者任せにすることなく、自らが積極的にかかわっていくべきであるとしています。しかし、すべての経営者が「サイバーセキュリティ」について明るいわけではなく、不安になられている経営者の方も多いのではないでしょうか。では、経営者として「何を」「どのように」していくべきなのかを見ていきましょう。
まず、経営者が認識すべき「サイバーセキュリティ経営の3原則」として
1. 経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
次に、経営者が指示すべき「サイバーセキュリティ経営の重要10項目」として
1. リーダーシップの表明と体制の構築
(1) サイバーセキュリティリスクの認識、組織全体での対応の策定
(2) サイバーセキュリティリスク管理体制の構築
2. サイバーセキュリティリスク管理の枠組み決定
(3) サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
(4) サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
(5) 系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
3. リスクを踏まえた攻撃を防ぐための事前対策
(6) サイバーセキュリティ対策のための資源(予算、人材等)確保
(7) ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
(8) 情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
4. サイバー攻撃を受けた場合に備えた準備
(9) 緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
(10) 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
「サイバーセキュリティリスク」を「経営リスク」と置き換えて読まれると、経営者の方であれば「当たり前のことしか書かれていない」と感じられたのではないでしょうか。
「サイバーセキュリティ経営の重要10項目」は、質問形式で記載されていますので、現状把握のために活用することができます。その結果、実施できていない項目については、「対策を怠った場合のシナリオ」を参考にして自社におけるリスク評価を、「対策例」を参考にして自社におけるリスク管理を検討することができます。
サイバー攻撃による企業ブランドや業績のダウンを考えると、これからは企業の社会的責任として、サイバーセキュリティ経営を実施していくことが必要であると言わざるを得ません。しかし、すべての企業に一律のサイバーセキュリティ対策が求めてられているわけではありません。各企業がその企業規模や事業範囲を考慮して、サイバーセキュリティ対策のポイントを絞り、実施レベルを設定することができます。そうすることで、投資すべき経営資源の最適化が可能になります。「サイバーセキュリティ経営ガイドライン」を参考に、自社に最適なサイバーセキュリティ経営を実施してください。
サイバーセキュリティ経営について現状分析、改善提案、マニュアル化および社員教育等、ご質問やご相談等ございましたら、お気軽にお問い合わせください。
中小企業診断士
情報セキュリティスペシャリスト
井上朋宏