最新セキュリティマネジメント（第3回）サイバーセキュリティリスクの認識、組織全体での対応方針の策定

公開日：2021.08.24

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　経済産業省が策定した「サイバーセキュリティ経営ガイドライン」の中で、増加するサイバー攻撃から企業を守るため、経営者が担当幹部に指示すべきポイントとして示された「重要10項目」。今回は最初の項目となる「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」について解説する。

「セキュリティは重要な経営リスク」と認識しよう

　経済産業省と独立行政法人情報処理推進機構（IPA）が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」は、企業がITの利活用を推進していく中で、経営者が認識すべきサイバーセキュリティに関する原則や、経営者のリーダーシップによって取り組むべき項目について取りまとめたものである。

　本ガイドラインの冒頭では、経営者が認識すべき3原則として「サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めること」、「ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要」、「サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要」とする項目が挙げられている。

　この原則に基づいて、経営者はセキュリティ対策の実務を担当するCISO（最高情報セキュリティ責任者）などの幹部に指示を行うが、ここで大切なのは「有効な施策を具体的に伝える」ことだ。前回では指示すべきポイントとなる「重要10項目」の概要を紹介したが、今回はここで最初に挙げられた項目「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」について解説しよう。

まずは「セキュリティポリシー」の策定から…

　「サイバーセキュリティリスクの認識」とは、サイバー攻撃による情報の窃取、流出、改ざんといった被害を受けた結果、経営が危機的状況に陥る可能性を認識することだ。わが国でも2000年に不正アクセス禁止法、2015年にはサイバーセキュリティ基本法が施行され、コンピューター、ネットワークを使った犯罪防止の取り組みが進められているが、発生件数は増加の一途をたどっているのが現状。最近では被害を受けた企業が業務停止に追い込まれたり、原状回復に多額の出費を強いられたりするケースが増えている。

センサーにおいて検知したアクセス件数の推移

　また、これらの直接的な被害に加え、被害を防げなかったことによる社会的信用の失墜、売り上げの減少、さらには株価の低下など、企業が受ける間接的な被害も見逃せない。これはセキュリティが経営上の重大なリスクであることを示すもので、経営者はセキュリティを「会社の将来を左右する要素」として認識する必要があるのは明らかだ。

　ガイドラインでは、経営者に対してサイバーセキュリティリスクを経営リスクの一つとして認識した上で、「組織全体での対応方針（セキュリティポリシー）」を策定させることを求めている。セキュリティポリシーとは企業におけるセキュリティ対策を総合的・体系的かつ具体的に取りまとめたもので、その企業のセキュリティに対する考え方の基本となるものだ。

　しかし、「当社は万全のセキュリティ対策を行っています」や「常に最新技術を導入しています」のように、漠然とした表現を並べただけのセキュリティポリシーは意味を持たない。ガイドラインでは「対策を怠った場合のシナリオ」として、下記の例を挙げている。

・経営者がサイバーセキュリティリスクへの対応を策定し、宣言していないと、サイバーセキュリティ対策などの実行が組織の方針と一貫したものとならない。
→各担当者に最善の対策を求めるスタイルでは方向性が定まらず、結果として「場当たり的」かつ「一貫性のない」取り組みになってしまう。

・トップの宣言により、ステークホルダー（株主、顧客、取引先など）の信頼性を高め、ブランド価値向上につながるが、宣言がない場合は、企業におけるサイバーセキュリティへの重要度がステークホルダーに伝わらず信頼性を高める根拠がないこととなる。
→組織としての信頼性を高め、責任の所在を明らかにするためにも、トップが自ら宣言することは重要。

　企業のセキュリティポリシーは画一的なものではなく、業種、規模、扱う製品・サービス、システム構成などにより変わってくる。不測の事態に備えるという意味だけでなく、日ごろから基本方針をしっかり固めておく必要がある。「競合や自治体のものをコピー&ペーストすればいい」的な考えは論外だ。

対策例のポイント

　ガイドラインでは、これからセキュリティポリシーを設定する企業に向けた対策例として、以下の項目が示されている。それぞれのポイントについて考えてみよう。

・経営者が組織全体の対応方針を組織の内外に宣言できるよう、企業の経営方針と整合を取り、サイバーセキュリティリスクを考慮したセキュリティポリシーを策定する。その際、情報システムのみではなく、製造、販売、サービス等、事業に応じた対応方針を検討する。
→セキュリティポリシーは、企業の経営方針と実態に基づいた内容とする必要がある。厳正さを意識するあまり業務の「足かせ」となったり、職場が萎縮してしまったりするような威圧的な策定は避けるべきである。

・セキュリティポリシーは従業員が容易にアクセス可能な場所（社内ポータルサイトなど）への掲載、従業員教育の実施などによって周知徹底を図る。
→経営者と幹部がセキュリティポリシーを策定した場合、肝心の社員がその存在を知らぬまま経過し、次第に「（空虚な）標語」のようになってしまう恐れがある。社内ポータルサイトに掲載するほか、研修や定例会議などの機会も積極的に活用し、日ごろからセキュリティに対する意識を高めるべきである。

・セキュリティポリシーを一般公開することでステークホルダーや社会に対する企業としての姿勢を示し、信頼性を高める。
→会社案内や公式ホームページでのセキュリティポリシー公開は、広く社会に自社の姿勢を示す有効な手段の一つ。単なるポーズとしてではなく、具体的な取り組み内容が読み手に伝わる表現を心掛けるべきである。

　現在、セキュリティポリシーは多くの企業が設定しており、その内容はホームページで自由に閲覧することができる。ただし、「会社の実態に合っているか」、「時代の変化に対応しているか」という部分になると、若干疑問を感じるケースが見られることは否めない。高まる脅威からいかにして貴重な情報資産を守るのか、いかにして社会的信頼を勝ち取っていくのか。すべての企業が基本方針を確認し、重要性を再認識すべきだろう。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

執筆＝林達哉

【TP】

「リスクマネジメント」人気記事ランキング

「リスクマネジメント」カテゴリーから探す

連載バックナンバー

最新セキュリティマネジメント

企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード
情報セキュリティ対策意識調査2022
DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。
ダウンロード
その対策は効果ナシ！セキュリティの常識を検証する
サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が崩れ始めています。本当に必要な対策とは何か？情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。
ダウンロード