サイバーセキュリティーサービスの比較・資料請求サイト|中小企業向けのセキュリティ対策を考える「サイバーセキュリティ」に関する情報メディア。日本の中小企業の情報を守るため、最新のセミナー・人材育成・製品・中小企業向けのセキュリティ対策を考えるサイバーセキュリティ情報サイトです。

企業経営のためのサイバーセキュリティの考え方



2016年8月2日、内閣サイバーセキュリティセンター(NISC)から「企業経営のためのサイバーセキュリティの考え方」が発表されました。

本コラムでも紹介しましたが、2015年、経済産業省からは「サイバーセキュリティ経営ガイドライン」が発表されています。ただ、これらについてはまだまだ定着しているとは言い難いものがあります。

そこで、2016年4月に、サイバーセキュリティ戦略本部の普及啓発・人材育成専門調査会の中に、「セキュリティマインドを持った企業経営ワーキンググループ」が設置され、大急ぎで発表されたのが、この「企業経営のためのサイバーセキュリティの考え方」です。

「サイバーセキュリティ経営ガイドライン」では、“サイバーセキュリティ対策は【経営責任】である”と宣言されたことを説明しました。「企業経営のためのサイバーセキュリティの考え方」はさらに一歩進んで、“サイバーセキュリティ対策は【会社法上の義務】である”としています。

事業運営において、ITを使用しないなんて、今の時代に最早考えられないから、サイバーセキュリティの確保は内部統制上の必須事項である。だから会社法上の問題なんだ、と明言したのです。

「考え方」の基本概念とは

2つの基本認識について

サイバーセキュリティは利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。

サイバーセキュリティ対策がコストとか言ってると笑われちゃうよ、ということですね。経営戦略の一環として捉えないと、新商品開発などできないじゃないか、と言っています。

全てがつながる社会において、サイバーセキュリティに取り組むことは、社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。

サイバーセキュリティ対策をしてないと、そもそも社会から相手にされなくなるよ、ということですね。セキュリティ事故を起こして経営危機になっている会社は、もういくらでも挙げることができます。この状況で対策をしていないなど、白い眼で見られます。

3つの留意事項とは

情報発信による社会的評価の向上

ウチの会社は、こういう対策してるから、サイバーセキュリティも安心なんですよ、と情報発信をすること。サイバーセキュリティ経営ガイドラインで言う「平時からの情報開示」に通じますね。

ISMS認証や情報セキュリティ監査報告書等が方法として挙げられます。

リスクの一項目としてのサイバーセキュリティ

サイバーセキュリティも経営リスクの一つであり、経営の根幹にかかわることだという認識を持ちなさい、ということです。

特に、日本ではまだ“個人情報”にばかり意識が行っていますが、他の営業秘密も流出すれば、企業ブランドの毀損、事業継続への影響なども発生します。

きちんと経営判断項目としてサイバーセキュリティを捉えれば、他の情報流出リスクも自ずと理解できるはずです。

サプライチェーン全体でのサイバーセキュリティの確保

おそらく今の日本の商慣習では、これが一番インパクトがあるかも知れません。

何か仕事を請け負う場合、自社のみで完結することは稀です。社員やパートナーだけでなく、システム管理の委託先、例えば、クラウドに重要情報を置くのなら、そのクラウドサービスが安全であることを確保する必要があるのです。

委託したから相手の責任、とはなりません。委託するなら、「こういう理由で安全と判断した」と表明できるようにして、委託先で問題が発生したら、自社の責任として受け止めなければならないのです。

実際、システム管理会社も玉石混交です。価格や知名度だけで判断すると、とんでもないことになりかねません。「委託するのも自社責任」の認識を持ち、慎重な判断が望まれます。

さらに逆の立場になってみれば、自社のサイバーセキュリティ対策の安全性を証明できないと、受注できなくなってくるのです。安易に構えていると、自社のビジネスが激減する可能性すらあります。

おわりに

この「企業経営のためのサイバーセキュリティの考え方」もそうですが、今までコラムで解説した通り、現在国は、様々な方法を駆使して、大急ぎで日本のサイバーセキュリティ意識を変えようとしています。

この流れを無視すると、仕事の受注に支障を来すようになってきます。そのターゲットイヤーは2020年。東京オリンピックの年です。後4年、民間企業も全力でサイバーセキュリティ対策に取り組む必要があります。

皆さんも絶対に乗り遅れないようにしてください!

さて、今回で、政策としてのサイバーセキュリティのお話は一段落とさせていただきます。次回からは、実際にサイバーセキュリティ対策をする場合に役立つ、ISMSについて、解説を連載させていただきます。





書籍「情報漏洩対策のキホン」プレゼント


当サイトへの会員登録で、下記内容の書籍「情報漏洩対策のキホン」3000円相当PDFプレゼント
(実際にAmazonで売られている書籍のPDF版を無料プレゼント:中小企業向け大企業向け

下記は中小企業向けの目次になります。

  1. 1.はじめに

  2. 2.あなたの会社の情報が漏洩したら?

  3. 3.正しく恐れるべき脅威トップ5を事例付きで
    •  3-1.ランサムウェアによる被害
    •  3-2.標的型攻撃による機密情報の窃取
    •  3-3.テレワーク等のニューノーマルな働き方を狙った攻撃
    •  3-4.サプライチェーンの弱点を悪用した攻撃
    •  3-5.ビジネスメール詐欺による金銭被害
    •  3-6.内部不正による情報漏洩

  4. 4.情報漏洩事件・被害事例一覧

  5. 5.高度化するサイバー犯罪
    •  5-1.ランサムウェア✕標的型攻撃のあわせ技
    •  5-2.大人数で・じっくりと・大規模に攻める
    •  5-3.境界の曖昧化 内と外の概念が崩壊

  6. 6.中小企業がITセキュリティ対策としてできること
    •  6-1.経営層必読!まず行うべき組織的対策
    •  6-2.構想を具体化する技術的対策
    •  6-3.人的対策およびノウハウ・知的対策

  7. 7.サイバーセキュリティ知っ得用語集

無料でここまでわかります!
ぜひ下記より会員登録をして無料ダウンロードしてみてはいかがでしょうか?

無料会員登録はこちら

SNSでもご購読できます。