サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

持続的成長を目的とした「サイバーセキュリティ経営ガイドライン対応」の進め方



前回よりISO27001観点での「サイバーセキュリティ経営ガイドライン」の望ましい対応方法について解説を行っておりますが、第2回目の今回は、「我々は、なぜサイバーセキュリティ経営ガイドラインに対応するのか?」という基本的な部分について今一度考えてみましょう。

マネジメントの初心に帰る

「我々は、なぜサイバーセキュリティ経営ガイドラインに対応するのか?」

国が発表したからでしょうか?それでは“形だけ整えれば良い”ということになりかねませんね。

では、顧客を守るためでしょうか?もちろんこれは必要なことですが、全ての顧客の要望レベルに応えられる企業はまずありませんよね。

マネジメント的に望ましい答えは「企業の“持続的成長”のために必要」だからです。

日本語では「持続的成長」「永続的発展」等の言い方をしますが、企業とは社会に求められ、無くてはならない存在になり、ずっと伸び続けることが目的です。ドラッカーや松下幸之助が口を揃えて述べているところですね。

その前提で前回のB社とジャパネットたかたの差を思い出してください。「持続的成長」のためには、どちらが正解だったかは一目瞭然です。

サイバーセキュリティ経営ガイドライン対応の“望ましい”進め方

どの企業でも起こり得る“情報漏洩”というリスク。このリスクが顕在化しても、企業が「持続的成長」を保つための仕組みが要る。

そのために「サイバーセキュリティ経営ガイドライン」への対応が必要なのです。

利害関係者はどんな期待をしているか

そこで具体的なステップとして、まず「持続的成長」を左右する利害関係者を洗い出します。

利害関係者とは?

情報漏洩で信頼を損ねると、会社が傾きかねない人たちです。この時念頭に置く“情報の種類”に関してはしっかりと吟味してください。

世間では個人情報漏洩が注目されやすいですが、それだけではありません。開発中の新商品情報もあるでしょう。マイナンバーであれば、従業員やパートナーが利害関係者になるでしょう。何か企業にトラブルが起きたら、株主も文句を言って来るかも知れません。

それら様々な利害関係者がサイバーセキュリティ対策において「このくらいの姿勢は見せてくれなきゃ困るよ?」と考えるであろう内容を想定し、サイバーセキュリティ基本方針を策定します。

サイバーセキュリティ基本方針は公開する

この基本方針は原則公開しましょう。自社の姿勢を内外に予め示しておくことが、企業の信頼確保に必要です。

もちろん形だけでは、有事の際更なるバッシングのネタになってしまいますから、上記のプロセスを踏み、“誰のために、なんのために、この方針を作ったのか”という自覚を持つことが必要です。

個人的には、この方針策定までは、担当幹部(CISO等)というより経営責任者が担当すべきだと思います。そうでないと、いざ有事の際の記者会見で、理解不足により方針にそぐわない発言をしかねませんから。

方針を遂行するための組織づくり

基本方針が出来ましたら、この方針を遂行していくための組織づくりをします。

誰が責任者となるのか

重要なのはやはり“責任者”です。

可能な限りCISO(「Chief Information Security Officer)を置きましょう。CISOは役員です。経営会議に出席できる人です。サイバーセキュリティ対策は経営責任ですから、経営会議で直接発言できる人が望ましいと言えます。

そして、サイバーセキュリティ対策は“費用”も“マンパワー”も必要です。

「対策しろ」と言われても経営会議で発言できなければ、資源の投入もままなりません。なのに責任だけ押し付けられるなんてことになったら、現場と上の板ばさみになるだけで、誰もやりたくないですね。

責任を負わせるには、それなりの“権限”も必要なのです。

責任者を定め、組織を作る

その上で、システムセキュリティの責任者、社員教育の責任者、各部門の責任者等、必要と思われる責任者を定め、組織を作り上げると良いでしょう。一人に責任を集中させすぎるのは、管理的にもメンタルヘルス的にも良くありません。

B社の事例では、現場の担当者である委託先社員に責任を集中させ、彼にどれだけの負担がかかっているかを理解しようとしませんでした。それが、彼の不満を高め、不正に手を染める一因となったのです。

以前、「人的資源のセキュリティ」の回でも触れましたが、人は弱いものです。「わからないから、君に全部任せた」といった体制を組むと、いつか爆発しかねません。可能な限り、責任を分担し相互チェックできる体制が望ましいのです。

まとめ

ここまでで、重要10項目の指示1・2の対応が完了しました。

次回は、指示3の「サイバーセキュリティリスクの把握と実現するセキュリテイレベルを踏まえた目標と計画の策定」から説明して行きます。


書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。