経営者が知っておくべきサイバーセキュリティガイドラインの実践(会社全体での方針と管理体制)

皆さん、こんにちは。

穂苅智哉と申します。

前回の記事では、日本企業で増えているランサムウェア被害について取り上げました。ランサムウェアは今やどの企業でも被害を受ける可能性があります。また、被害を受けてしまうと会社の重要情報にアクセスができない、外部への情報漏えいの可能性、被害額の発生、会社の信用低下など多くの問題が出てきてしまうため、対策が必要です。ご興味ありましたら、ぜひご覧ください。

今回は、独立行政法人情報処理推進機構(IPA)が発行した「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」の中にある、経営者のためのサイバーセキュリティ経営ガイドラインをいくつか見てみます。一定規模以上の会社組織では特に、経営者がサイバーセキュリティについて知らない、対策が打てていないというのは問題です。更に、サイバーセキュリティに関する人材がいないというのも問題となります。

目次

サイバー攻撃から企業を守るための経営者の3原則

それでは、ガイドラインにある「経営者が認識すべき3原則」を見ていきます。

  1. 経営者のリーダーシップが重要
  2. サプライチェーン全体にわたる対策への目配り
  3. 社内外関係者との積極的なコミュニケーション

まずは、会社のトップである経営者がリーダーシップを発揮しサイバーセキュリティの認識を持つことが重要です。自分の専門外だとしても、自社を守るために会社を動かしていく経営者がいる組織はセキュリティ対策もしっかりできているということです。

その上で、どういう対策をしていくのかをサプライチェーン全体で考えることが求められます。ここは、CISOなどの担当を決めて、社内体制を作る必要があります。そして、社内外関係者とのコミュニケーションも経営者がやるべき部分ですので、この3原則が自社の経営者が認識しているのかをチェックしてみましょう。

サイバーセキュリティ経営のための重要10項目

経営者の3原則がある前提で、サイバーセキュリティ経営のための重要10項目があります。

ざっと記載するとこのようになります。

サイバーセキュリティリスクの認識、組織全体での対応方針の策定サイバーセキュリティリスク管理体制の構築サイバーセキュリティ対策のための資源(予算、人材等)確保サイバーセキュリティリスクの把握とリスク対応に関する計画の策定サイバーセキュリティリスクの把握とリスク対応に関する計画の策定PDCAサイクルによるサイバーセキュリティ対策の継続的改善インシデント発生時の緊急対応体制の整備インシデントによる被害に備えた事業継続・復旧体制の整備ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策サイバーセキュリティに関する情報の収集、共有及び開示の促進

この記事では、1と2について取り上げます。

サイバーセキュリティリスクの認識、組織全体での対応方針の策定

まずは、対応方針の策定です。いわゆるセキュリティポリシーですが、サイバーセキュリティリスクを的確に経営者が把握し、それによって組織経営に活かせるようにしておくことが必要です。対応方針が無い場合、もし何か被害が発生した場合にも適切な対応ができませんし、そもそもどのようにして対策や管理をしていくべきかも分からなくなります。

実践例としては、1つ目は情報システム部長が集めたサイバー攻撃等の事例や自社の対策をCISO等に説明し、CISOから経営会議で報告する仕組みを作るということです。2つ目は、自社のセキュリティポリシーを策定し、サイバーセキュリティリスクの対応を追加するという動きがあります。

サイバーセキュリティリスク管理体制の構築

管理体制を作ることもとても重要です。誰が、どういう役割で動くのかをしっかり決めておかないと、リスク管理体制とは言えません。そこで、組織内のリスク管理体制を役割・責任範囲・人数などで決めていく必要があります。

実践例としては、グループ会社を含めて組織のサイバーセキュリティに関係する部門や担当者を選定し、責任範囲を決めていくことです。例えば、コンプライアンス担当役員のCISOの設置やIT統括部などの部門体制を作っていくような形になります。

セキュリティソリューションの検討も重要

サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」は量がとても多いため、今回は部分的に取り上げました。無料でPDFで見ることができますので、ぜひご覧ください。

サイバーセキュリティでやるべきこととしては、大きく見るとウイルス対策やセキュリティ対策となりますが、分解していくとアンチウイルス、アンチスパム、デバイス保護、不正アクセス防止、ファイアーウォールなど様々あります。しかし多くの企業では、何をしたら良いのか困ってしまっている状況も多い印象です。であれば、Dr. Webのセキュリティソリューションを利用するのが対策の1つになります。

Dr. Webでは、サイバーセキュリティに関するソリューション、サービスをお客様のコンピュータ資産を守るということを優先して提供しています。

ランサムウェアやエンドポイントセキュリティの対策、また、アンチウイルスソフトでの対策を考えている企業、団体の皆様で、まずはお話を聞いてみたい、詳しく知りたい、という場合は、以下を御覧ください。
https://www.drweb.co.jp/

テレワーク向けクラウド型アンチウイルスサービスを無償提供もしています。
https://drweb-antivirus.jp/avd_free_3month/

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!
目次