コラム

 公開日: 2016-01-21  最終更新日: 2016-01-29

「サイバーセキュリティ経営ガイドライン」と中小企業での対応

昨年末、経済産業省と独立行政法人情報処理推進機構(IPA)から「サイバーセキュリティ経営ガイドライン」が発表されました。
対象としては大企業、及び小規模事業者を除く中小企業のうち、
・ITに関するシステムやサービス等を供給する企業
・経営戦略上ITの利活用が不可欠である企業
の経営者であり、経営者のリーダーシップの下で企業のサイバーセキュリティ対策を推進することを目的としています。
ビジネスの至る所でITの利活用は不可欠である一方、企業が保有する顧客情報や技術情報等を狙うサイバー攻撃は増加しており、その手口は巧妙化しています。こうしたサイバー攻撃から企業を守るためのITやセキュリティに関する投資や施策を重要な経営課題の一つとして捉えることが重要です。

ここまで読むと、大半の中小企業は自社には関係ないと考えるでしょう。ガイドラインの内容は、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。これらは基本的なことばかりであり、上記の対象者に囚われず、すべての企業で対応すべき内容です。
今回は「サイバーセキュリティ経営ガイドライン」の内容を確認していきます。

「サイバーセキュリティ経営の3原則」

サイバー攻撃から企業を守る、という観点で経営者が認識すべき原則であり、この原則に基づいてサイバーセキュリティ対策を進めることが必要です。

原則1
経営者は、IT活用を推進する中でサイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

原則2
自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、 ITシステム管理の委託先を含めたセキュリティ対策が必要

原則3
平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示ななど、関係者との適切なコミュニケーションが必要

「サイバーセキュリティ経営の10項目」

経営者が情報セキュリティ対策の実施責任者に指示すべき事項であり、着実に実施させることが必要です。

1.リーダーシップの表明と体制の構築
指示1:サイバーセキュリティリスクの認識、組織全体での対応の策定
指示2:サイバーセキュリティリスク管理体制の構築

2.サイバーセキュリティリスク管理の枠組み決定
指示3:サイバーセキュリティリスクの把握と実現するセキュリティレベルを踏まえた目標と計画の策定
指示4:サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
指示5:系列企業や、サプライチェーンのビジネスパートナーを含めたサイバーセキュリティ対策の実施及び状況把握

3.リスクを踏まえた攻撃を防ぐための事前対策
指示6:サイバーセキュリティ対策のための資源(予算、人材等)確保
指示7:ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
指示8:情報共有活動への参加を通じた攻撃情報の入手とその有効活用のための環境整備

4.サイバー攻撃を受けた場合に備えた準備
指示9:緊急時の対応体制(緊急連絡先や初動対応マニュアル、CSIRT)の整備、定期的かつ実践的な演習の実施
指示10:被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

サイバーセキュリティに対応する意味

今回公開されたガイドラインの内容は上述の通り、基本的な内容に過ぎません。見方を変えれば、リスク管理対策のサイバー版と考えられるでしょう。

近年の様々な顧客情報漏えい等の事件を見てもわかる通り、サイバー攻撃によって企業のブランドイメージへのダメージや業績ダウンといった影響ばかりか、経営責任を問われる事態にもなりかねない状況です。また、サイバー攻撃のターゲットは大企業であっても、その大企業と取引等の関係があり、セキュリティ対策が十分でない子会社や中小企業を攻撃対象とし、そこから本丸である大企業に入り込むという手順を取るケースも増えてきています。よって、特に大企業と何らかの取引のある企業は、サイバーセキュリティへの対応が契約条件として追加されることが予想されます。ここでの取引とは、仕入業者や物流業者といったビジネス上のバリューチェーンに関わる業者ばかりでなく、情報システムの開発・保守・運用業者、文具品等の納入業者、アウトソースした福利厚生関係の業者、等の企業活動のあらゆる領域が対象となります。

サイバーセキュリティに関してはIT部門やセキュリティ担当者に任せておけばいいと考える企業(大企業を含む)が多いのが実態だと考えられます。しかしながら、サイバー攻撃への対応は、もはや現場の改善プロセスのレベルでは対応しきれないところまできています。IT部門やセキュリティ担当者に丸投げする経営者の多くは、「ITがよく分からないから」「餅は餅屋」という理由を言いますが、サイバー攻撃によって被害を受けた場合、対外的には経営責任だと見なされます。「ITがよく分からない」経営者でも、サイバー攻撃によるリスクがどのようなもので、その結果どのような事態が引き起こされるかは理解できるでしょう。経営レベルでサイバー攻撃に対する問題の重要性を認識した上で、経営判断として適切にリソースを分配し、対処することが必要になると考えられます。

もちろん、中小企業の場合、サイバーセキュリティ対策に大きなリソースを割くことは難しいでしょう。しかし、すべての対策を大企業が実施するレベルまで引き上げることを目的としている訳ではありません。自社の事業範囲や規模に応じて、対策すべきポイントを絞り込んだ上で、必要な対策レベルを設定すれば、コスト、人員ともに最適化は可能です。対策レベルとして、サイバー攻撃を跳ね返すようなレベルもあれば、異変が起きたことを通知するセンサーを設置し、都度調査するレベルでも十分なケースがあります。自社の対応可能な範囲でしっかりと対策を取ることが重要なことです。

上記に関して、ご関心、ご相談等ございましたら、お気軽にお問い合わせください。
お問い合わせフォームは、こちらです。

デルタエッジコンサルタントでは、サイバーセキュリティを含む情報セキュリティに関して以下の様なサービスを提供しております。
・セキュリティ規程等の策定、改訂
・セキュリティ環境の調査と改善提案
・従業員に対するセキュリティ教育
詳細は、弊社ホームページの「コンサルティングサービス-リスク管理」を参照ください。

/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_
ITを有効活用し、課題を解決します
デルタエッジコンサルタント株式会社
金子 清隆
URL  http://www.deltaedge.co.jp
/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_/_

この記事を書いたプロ

デルタエッジコンサルタント株式会社 [ホームページ]

経営コンサルタント 金子清隆

東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL:03-6869-8336

  • 問い合わせ

このコラムを読んでよかったと思ったら、クリックしてください。

「よかった」ボタンをクリックして、あなたがいいと思ったコラムを評価しましょう。

0

こちらの関連するコラムもお読みください。

<< 前のコラム 次のコラム >>
最近投稿されたコラムを読む
サービスメニュー

日常業務の中で、あるいは報道や世間の動向を見ている中で、以下のように感じたことはないでしょうか。・「現状にどこか満足できない」、「どこかに課題がありそう...

お知らせ

企業や組織はIT部門やITリーダーに対して、戦略的にITを活用したビジネスを実施するための貢献を期待する様になっています。一方で、IT部門の多くは以下の理由により...

 
このプロの紹介記事
金子清隆・ITコンサルティング・デルタエッジコンサルタント株式会社

ITを中小企業のビジネスに有効活用するには?ITの運用方法やコストでお悩みの方に(1/3)

 2013年9月にデルタエッジコンサルタント株式会社を立ち上げた金子清隆さん。中小企業の業務改善をサポートするコンサルティングをベースに、特にITの最適化を通して顧客のビジネスを陰から支えています。 「ITとビジネスとの関係は年々密接に...

金子清隆プロに相談してみよう!

朝日新聞 マイベストプロ

中小企業の実情を踏まえた、最適コストによるIT活用をご提案

会社名 : デルタエッジコンサルタント株式会社
住所 : 東京都中央区日本橋大伝馬町13-7 日本橋大富ビル3階 [地図]
TEL : 03-6869-8336

プロへのお問い合わせ

マイベストプロを見たと言うとスムーズです

03-6869-8336

勧誘を目的とした営業行為の上記電話番号によるお問合せはお断りしております。

金子清隆(かねこきよたか)

デルタエッジコンサルタント株式会社

アクセスマップ

このプロにメールで問い合わせる
プロのおすすめコラム
改元とIT-元号の変更によるITへの影響

先日、皇室会議にて天皇陛下の退位が2019年4月30日、皇太子さまの即位が2019年5月1日と決定されました。これに伴い...

[ リスク管理 ]

情報セキュリティのセルフチェックをしてみませんか。

昨今、情報漏えいやランサムウェア等の情報セキュリティに関する事故、事件が相次いで発生しています。さらに、マ...

[ セキュリティ ]

サイバー空間をめぐる脅威の状況(平成29年上半期)

先日、警察庁より「平成29年上半期におけるサイバー空間をめぐる脅威の情勢等について」が公表されました。これに...

[ セキュリティ ]

FAKEニュース(偽ニュース)に惑わされないために

最近はネット上にFAKEニュース、または偽ニュースと呼ばれる、事実とは異なるニュースが氾濫しています。先日も「...

[ リスク管理 ]

長期休暇のセキュリティ対応 − IT機器も休暇入りさせましょう

今年もお盆休みの時期が来ました。全社で夏期休暇が設定されている会社もあるでしょう。こうした長期休暇は、年末...

[ セキュリティ ]

コラム一覧を見る

スマホで見る

モバイルQRコード このプロの紹介ページはスマートフォンでもご覧いただけます。 バーコード読み取り機能で、左の二次元バーコードを読み取ってください。

ページの先頭へ