メルマガにも記載しましたが、ITやデータの利活用&DXの推進に伴い、企業が保有する個人情報や、重要機密情報等を狙うサイバー攻撃が増加しています。
企業戦略として、IT投資やセキュリティー投資をどの程度行うのかが経営者の重要課題となっています。
ある調査によると、「セキュリティ対策を実施したきっかけ」は、日本と外国では決定的な違いがあることがわかったそうです。
日本の1位:自社のセキュリティーインシデント 33%
日本の2位:他社のセキュリティーインシデント 27%
日本の3位:内部監査・内部有識者からの指摘 27%
米国の1位:経営層のトップダウン指示 55%
米国の2位:他社のセキュリティーインシデント 25%
米国の3位:自社のセキュリティーインシデント 23%
(引用元:サイバーセキュリティ経営ガイドライン Ver2.0 付録 F サイバーセキュリティ体制構築・人材確保の手引き 、NRI セキュアテクノロジーズ:『NRI Secure Insight 2019(企業における情報セキュリティ実態調査)』 )
ポイントは、日本企業の多くは、セキュリティーリスクが顕在化・問題が発生してから
対応を実施しているということです。
弊社がお客様のセキュリティー対策の状況を伺う際にも、「特にいままで問題になるようなことはなかったから」 「うちの会社が攻撃されることはないと思うから」とおっしゃる場面があります。
『いままで問題がなかったから、これからもきっと大丈夫』ではなく、経営層のリーダーシップの下『事故が起きないように日ごろから対策を講じる』ことが大事といえます。
セキュリティ対策を「コスト」とみる企業と、「成長投資」とみる企業では、サイバー攻撃への耐性にも大きな差ができています。
では、どのようにセキュリティー対策を実施したらよいのでしょうか?
経済産業省では、経営戦略上ITの利活用が不可欠である企業の経営者(大企業・中小企業)向けに、「サイバーセキュリティ経営ガイドライン」を策定しています。
サイバー攻撃から企業を守るための「3原則」と「重要10項目」がわかりやすくまとめられています。
経営者は、以下の3原則を認識し、対策を進めることが重要である
①経営者は、サイバーセキュリティーリスクを認識し、リーダーシップによって対策を進めるこ とが必要
②自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
③平時及び緊急時のいずれにおいても、サイバーセキュリティーリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
日経統合システムでは、お客様のセキュリティー対策の優先度・ご利用環境やご要望をヒアリングし、最適なサービスをご提供します。
何をどう始めていいか分からない場合にも、セキュリティー専門家が無料相談に応じます。お困りの内容がありましたら是非お問い合わせください!
▼Webサイトの脆弱性診断サービス
▼PCやIT資産を狙うマルウェア対策サービス
▼クラウド環境のログ解析&セキュリティ監視サービス
「サイバーセキュリティー経営ガイドライン」クイズ
Question: 情報セキュリティに対する組織的な取り組みについて、適切でないものはどれでしょうか?
情報セキュリティーに関する基本方針の作成について、特に決められた方針項目はないので、自社に適した方針で作成してもよい。
情報セキュリティー対策がどれくらい実施できているかを把握し、実施できていない部分は直ちに対策の検討を行なう。
情報セキュリティー対策の検討と決定はセキュリティー担当者だけで行ない、社員に実行するべき事項を周知する。
Answer: c.
情報セキュリティー対策の検討と決定は、セキュリティー責任者・担当者と経営者で行ないます。情報セキュリティー対策は、担当者等に全て任すのではなく、経営者自らリーダーシップを発揮して対策を行なうことを「サイバーセキュリティ経営ガイドライン」では強調されています。
次回は、サイバー攻撃から企業を守るための「重要10項目」についてご紹介、「その対策を実施しなかった場合のシナリオ」を読み解く内容をお送りする予定です。