メルマガにも記載しましたが、今回はサイバーセキュリティー経営を実践するための「重要10項目」について、内容やポイントを読み解いていきたいと思います。
経営者は、CISO等に対して「重要10項目」の実施を指示し、 実施内容について定期的に報告を受けることが必要、とされています。
指示1 : サイバーセキュリティーリスクの認識、組織全体での対応方針の策定
指示2 : サイバーセキュリティーリスク管理体制の構築
指示3 : サイバーセキュリティー対策のための資源(予算、人材等)確保
指示4 : サイバーセキュリティーリスクの把握とリスク対応に関する計画の策定
指示5 : サイバーセキュリティーリスクに対応するための仕組みの構築
指示6 : サイバーセキュリティー対策における PDCA サイクルの実施
指示7 : インシデント発生時の緊急対応体制の整備
指示8 : インシデントによる被害に備えた復旧体制の整備
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10: 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
2020年の調査では、企業のセキュリティー対策推進のための課題として
リスクの見える化が困難/不十分(45.7%)
経営層のリスク感度が低い(9.7%)
経営層にITやセキュリティーの重要性を理解してもらえない(9.4%)
(引用元:(IPA)企業のCISO等やセキュリティー対策推進に関する実態調査 https://www.ipa.go.jp/security/fy2019/reports/2019DL_index.html
と、CISOが課題に感じていることがわかりました。
リスクの見える化は、企業や業種毎に脅威となるサイバー攻撃の種類が異なってきますが
「WEBサイトの改ざん」や「標的型攻撃」「クラウドサービスの設定不備を狙う不正侵入」などが考えられます。
それぞれの攻撃について、自社サービスやシステムの重要度と、攻撃による被害が与える影響度からリスクの値を算出し、対策すべき優先度を見える化する必要があります。
ビジネスのスピード感とリスク値の算出、対策のアップデート、施策の評価が同期できていない、と認識されているCISOが多いのかもしれません。
「重要10項目」では、「自組織での対応が困難な項目については、外部委託によって実施することも検討する。」とあり、システムベンダーやセキュリティーベンダーと協力し、サイバー攻撃の手口や脆弱性について情報収集・リスクを特定することも選択肢の1つとなっています。
「経営層のリスク感度が低い」「セキュリティーの重要性を理解してもらえない」という課題認識も一定数あるようです。
経営層とIT・セキュリティー部門との橋渡し役であるCISOのこの課題認識には、CISO自身やIT部門のみでセキュリティ意識を向上させることに限界を感じているケースが多いそうです。
サイバーセキュリティー経営ガイドライン実践のためのプラクティスでは、「外部講師による経営層向けの研修会の実施」や「事業部門と協同し、事業戦略の一環としてセキュリティー対策を訴求する」ことが取り組みとして紹介されています。
日経統合システムでは、お客様のセキュリティー課題の優先度、ご利用環境やご要望をヒアリングし、最適なサービスをご提供します。
深刻化するサイバー攻撃への対応強化について、情報収集されていらっしゃいましたら、セキュリティー専門家との無料相談も実施しております。ぜひ一度お問い合わせください。
▼Webサイトの脆弱性診断サービス
▼攻撃型メールの脅威を防ぐ実践型フルサービス支援
▼クラウド環境のログ解析&セキュリティー監視サービス
「サイバーセキュリティー経営ガイドライン」クイズ
Question: 情報資産の洗い出しについて、次のことが正しいかどうかを答えなさい。
『情報資産を情報セキュリティ上の脅威から守るため、保管場所や使い方が、情報資産の洗い出しの判断材料として重要になる。』
正しい
誤り
Answer: a. 正しい
情報資産を脅かす情報セキュリティー上の脅威はさまざまあり、守ると一括りに言っても難しいと言えます。そのため、どのような情報資産がどういった場所に保管され、どのように使われているか、の洗い出しを行なうところから始めるとよいとされています。
次回は、「情報セキュリティーの10脅威」とは何か?のご紹介です。