サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

ISMS構築の第一歩!「自社分析」の考え方について



ISO27001では、まず最初にやるべきこととして「組織及びその状況の把握」が定められています。なぜ「情報の分析」ではなく、「自社とその周囲の状況」からはじめるかというと、“経営マネジメントとの統合”が強く認識されているからです。

では、経営マネジメントの観点から見た情報セキュリティはどのように考えれば良いのでしょうか。

経営マネジメントの観点

まず、経営マネジメントは何を目的としているかを見てみます。バブル期から最近に至るまで、よく“利益追求”を目的に挙げる人も多かったですね。フリードマンの影響があったのでしょう。ですが、この考え方がリーマン危機を引き起こしたとの批判も強いです。

実は、日米の経営の神様、松下幸之助やドラッカーは口を揃えて言っていたのです。

企業にとって利益は手段であって目的ではない。

目的は「顧客価値の創造」と「永続的発展」により社会貢献をすること。社会にとって必要不可欠の存在になることなのです。この観点を忘れてしまうと、全ての経営マネジメントは破綻の道をたどることとなります。一時期の勢いがあっても、世間の信頼を無くし消えていた企業は数多いですね。

社会的な存在意義を得るためには

そのため、企業は利害関係者全てに気を配らなければなりません。WIN-WINと言う言葉を好んで使う方もおりますが、この場合、勝つのは自分と顧客の二者だけです。実際にはその他にも、従業員もいれば、サプライヤーもいます。ご近所さんだって組織の動きを見ています。

様々な人が企業の周囲にはいます。二者だけがトクをしていたら、他の人は不満が溜まるでしょう。いつか爆発するかもしれません。昔からある「うちこわし」、そこまでいかなくても最近の「不買運動」などは、その一つの現れですね。

これに対して、日本には近江商人の商売に対する有名な教えがあります。

売り手良し、買い手よし、世間良し。
三方良しで皆が幸せになるのが、真の“あきない”

セキュリティマネジメントにおける三方良しとは

情報セキュリティマネジメントも本質は同じです。

  • 自分達が安心だと思える
  • 取引先が安心だと思える
  • 世間が安心だと思える

この三方が安心できる体制を整える必要があるのです。

とはいえ、「情報セキュリティのためにできること」でいくらでもありますよね。片っ端からやろうと思っても、お金もパワーもかかるし、いつまでたってもキリがない。そこで大切なのは、

  • 自分たちが安心だと思えるライン
  • 取引先が安心だと思えるライン
  • 世間が安心だと思えるライン

これを下回ると、信頼を失い、永続的発展に影響が出るという“目安”です。これらのラインを探って、そのラインを超える体制を作るのです。

具体的な体制作り

そのためには、自社を取り巻く利害関係者が、どの程度情報セキュリティ対策の“期待”を自社に持っているかを見極めなければなりません。

また、有事の際には、この利害関係者に謝罪をします。その謝罪が納得いかなければバッシングが止まらなくなります。過去の情報漏えい事件においても、記憶に新しいベネッセの事件もあれば、漏えい事件を切っ掛けに、逆に世間の信頼を集めたジャパネットたかたの事件もありました。

正しく自社への期待を分析できているか否かで、大きな差が生じます。そのため、一見関係の無いように見えても、自社を取り巻く利害関係者の分析は、とても重要なのです。

次回は、ISMS組織の考え方の中心である「情報セキュリティのリーダーシップ」を解説させていただきます。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。