経営に大切な内部対策法

サイバーセキュリティは経営に必要

顧客の個人情報を収集・活用する、営業秘密としての技術情報を活用する、プラントを自動制御する、など様々なビジネスの現場において、IT の利活用は企業の収益性向上に不可欠なものとなっています。

一方、こうしたビジネスを脅かすサイバー攻撃は避けられないリスクとなっています。純利益の半分以上を失うような攻撃を受けた企業も存在するなど、深刻な問題を引き起こす事例が増えてきています。それを防衛するためにセキュリティへの投資が必要となってきています。

その中で、企業戦略として、IT に対する投資をどの程度行うのか、その中で、どの程度、事業継続性の確保やサイバー攻撃に対する防衛力の向上という企業価値のためにセキュリティ投資をすべきか、経営判断が求められています。

また、サイバー攻撃により、個人情報や安全保障上の機微な技術の流出、インフラの供給停止など社会に対して損害を与えてしまった場合、社会から経営者のリスク対応の是非、さらには経営責任が問われることもあり、適切な内部対策法を定める必要性があります。

経営者が認識すべき3原則

経営者は、以下の3原則を認識し、対策を進めることが重要です。

[1] 経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めること
セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ 投資をしようという話は積極的に上がりにくいですが、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、企業として迅速かつ適切な対応ができるか否かが会社の命運を分けます。そのため、多様な経営リスクの中での一つのリスクとして、サイバーセキュリティリスクを経営リスクの中に適切に位置づけ、その対応について組織の内外に対応指針を明確に示しつつ、経営者自らがリーダーシップを発揮して経営資源を用いて対策を講じることが必要です。その際、変化するサイバーセキュリティリスクへの対応や、被害を受けた場合の経験を活かした再発防止も必要となります。

[2] 自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、 IT システム管理の委託先を含めたセキュリティ対策
サプライチェーンのビジネスパートナーや IT システム管理の委託先がサイバー攻撃に対して無防備であった場合、自社から提供した重要な情報が流出してしまうなどの問題が生じます。自社のみならず、サプライチェーンのビジネスパートナーやITシステム管理の委託先を含めたセキュリティ対策を徹底することが必要になります。

[3] 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーション
事業のサイバーセキュリティリスクへの対応等に係る情報開示により、関係者や取引先の信頼性を高める必要があります。万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば、関係者や取引先の不信感の高まりを抑え、説明を容易にすることができからです。また、サイバー攻撃情報(インシデント情報)を共有することにより、同様の攻撃による他社への被害の拡大防止に役立つことを期待できます。事業のリスク対応として平時から実施すべきサイバーセキュリティ対策を行っていることを明らかするなどのコミュニケーションを積極的に行うことが必要です。

サイバーセキュリティ経営に重要な10項目

経営者は、以下の10項目を指示し、着実に実施させることが必要です。

  1. リーダーシップの表明と体制の構築
    • (1)サイバーセキュリティリスクの認識、組織全体での対応の策定
    • (2)サイバーセキュリティリスク管理体制の構築
  2. サイバーセキュリティリスク管理の枠組み決定
    • (3)サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
    • (4)サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
    • (5)系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握
  3. リスクを踏まえた攻撃を防ぐための事前対策
    • (6)サイバーセキュリティ対策のための資源(予算、人材等)確保
    • (7)IT システム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
    • (8)情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備
  4. サイバー攻撃を受けた場合に備えた準備
    • (9)緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
    • (10)被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

内部対策法の制定

手荷物検査やPCの持ち込み制御、入退室管理、PCの操作履歴取得など標準以上のセキュリティレベルで管理をしていた企業でも情報漏えいが発生しています。ではどのような内部対策法が必要なのでしょうか。ベネッセ個人情報漏洩事件から見えてくる3つの対策方法について述べたいと思います。

[1]私物のスマートデバイスなど新たにPCへ接続するデバイス制御の対応。
[2]PCの操作履歴を取得し、定期的に履歴チェックができる体制の整備。
[3]社員教育の徹底。

この3つを対策する必要があります。
このように情報化社会が進んでいる近年、経営者はサイバーセキュリティ対策を求められています。

ホーム
タイトルとURLをコピーしました