企業を守る!サイバーセキュリティ経営
デジタル化を知りたい
サイバーセキュリティ経営ガイドラインって、経営者向けのものなんですよね? 担当者レベルでは関係ないんですか?
デジタル化研究家
いいえ、担当者レベルにも関係があります。ガイドラインは経営者がリーダーシップを発揮して、企業全体で取り組むことを推奨しています。つまり、担当者も対策に参加する必要があるということです。
デジタル化を知りたい
なるほど。でも、具体的に何をすればいいのでしょうか?
デジタル化研究家
ガイドラインの『重要10項目』を見ると、リスクの把握や対応策の策定、仕組みの構築など、様々な対策が示されています。自分の担当業務に関連する項目について、現状を把握し、改善策を考えることが重要です。
サイバーセキュリティ経営ガイドラインとは。
経済産業省と情報処理推進機構が作った『サイバーセキュリティ経営ガイドライン』について説明します。このガイドラインは、企業を守るための考え方や行動を示したもので、インターネットを使った仕事で利益を上げるためには必要不可欠なものです。なぜなら、お客さんの個人情報や技術を狙ったネット上の攻撃が増えているからです。このガイドラインでは、特に経営者向けの対策を示しています。具体的には、以下の内容が重要です。
まず、経営者が知っておくべき三つの原則があります。一つ目は、ネット上の危険をよく理解し、率先して対策を進めることです。二つ目は、自社だけでなく、取引先なども含めて、全体を守る必要があります。三つ目は、普段から、また緊急時にも、ネット上の危険や対策について、関係者としっかり情報交換をすることです。
次に、経営者が取り組むべき十個の指示があります。
1. ネット上の危険を理解し、会社全体でどう対応するか決める。
2. 危険を管理する仕組みを作る。
3. 対策のためのお金や人を確保する。
4. 危険を把握し、対策の計画を作る。
5. 危険に対応できる仕組みを作る。
6. 対策の効果を検証し、改善する。
7. 問題発生時の緊急対応を決めておく。
8. 被害からの復旧体制を整える。
9. 取引先も含めた全体を守る。
10. 攻撃の情報を入手し、活用・提供する。
これは2017年に改訂された内容で、5と8が新しく追加されました。これは、ネット上の攻撃が巧妙で悪質になっているためです。攻撃に気づかない場合もあり、入口だけの対策では足りなくなっています。
深刻化する脅威
昨今、情報技術は企業活動にとってなくてはならないものとなっています。業務の効率化や顧客満足度の向上に役立つ反面、企業の機密情報や顧客の個人情報などを狙った、インターネットを通じた攻撃の危険性も高まっています。その手口は巧妙化し、目的も悪質化しているため、経営者が率先して対策を講じることが必要不可欠です。もはや情報システム部門だけで対処できる問題ではなく、企業の存続を左右する経営課題として捉えなければなりません。
このような攻撃は、企業の評判を著しく損ない、顧客の信頼を失墜させるだけでなく、多額の損害賠償が発生する可能性もあります。また、事業の継続が困難になるほどの打撃を受け、最悪の場合倒産に追い込まれるケースも少なくありません。そのため、経営者はこれらのリスクを正しく認識し、先を見越した対策を講じる必要があります。
具体的には、社員への教育訓練を徹底することが重要です。巧妙な攻撃の手口を理解し、不審な兆候を見つけた際に適切な対処ができるよう、定期的な訓練を実施する必要があります。また、最新の安全対策技術を導入することも重要です。常に変化する攻撃の手口に対応するため、最新の技術を取り入れ、システムの安全性を高める必要があります。さらに、緊急時の対応手順を明確に定め、関係部署と共有することも必要です。万が一攻撃を受けた場合でも、迅速かつ的確な対応ができるよう、あらかじめ手順を定めておくことが重要です。
経営者が率先して対策に取り組むことで、社員の意識向上を図り、企業全体の安全性を高めることができます。情報技術の恩恵を享受しながら、安全な事業活動を継続するためにも、サイバー攻撃対策は企業経営における最重要課題として位置付けるべきです。
| リスク | 対策 |
|---|---|
| インターネットを通じた攻撃による ・企業の機密情報漏洩 ・顧客の個人情報漏洩 |
経営者が率先して対策を講じる ・社員への教育訓練 ・最新の安全対策技術の導入 ・緊急時の対応手順の策定と共有 |
| 巧妙化・悪質化する攻撃による ・企業の評判失墜 ・顧客の信頼失墜 ・多額の損害賠償 ・事業継続の困難 ・倒産 |
先を見越した対策 ・定期的な訓練の実施 ・最新の技術導入によるシステム security強化 ・迅速かつ的確な対応のための事前手順策定 |
経営者の役割
情報技術を活用した変革が進む現代において、会社を率いる経営者の役割は、変わりゆく脅威から会社を守ることも含みます。特に、情報を扱う上での安全対策は、会社の存続に関わる重要な課題です。経済産業省と独立行政法人情報処理推進機構(IPA)が共同で作成した『情報安全管理のための経営の手引き』は、経営者が持つべき視点を三つの柱で示しています。
まず第一に、情報安全に関わる危険性を正しく理解することが大切です。目に見えない情報上の脅威は、形のある資産に対する脅威と同様に、会社に大きな損害を与える可能性があります。そのため、経営者は、これらの危険性を軽視せず、重大な経営課題として認識しなければなりません。
第二に、自社だけでなく、取引先など関係を持つ組織全体を守る意識を持つことが重要です。現代の企業活動は、多くの組織が繋がりあって成り立っています。そのため、自社だけ安全対策を講じても、取引先が情報漏えいの被害に遭えば、その影響は自社にも及ぶ可能性があります。会社を守るためには、取引先を含む関係組織全体の情報安全対策のレベルを高める必要があるのです。
そして第三に、平時と緊急時を問わず、関係者と適切な情報共有を行うことが不可欠です。日頃から関係者と緊密な連携体制を築き、いざという時に備えておく必要があります。また、緊急時には迅速かつ正確な情報共有を行うことで、被害の拡大を防ぎ、速やかな復旧作業を行うことができます。これらの三つの柱を理解し、実践していくことが、会社を守るための第一歩となるのです。
| 情報安全管理のための経営の手引き(3つの柱) |
|---|
| 1. 危険性の理解:情報上の脅威を重大な経営課題として認識する。 |
| 2. 関係組織全体を守る意識:取引先を含む関係組織全体の情報安全対策のレベルを高める。 |
| 3. 適切な情報共有:平時・緊急時を問わず関係者と情報共有を行い、連携体制を築く。 |
ガイドラインの活用
会社の情報を取り扱う上での安全を守るための指針となる文書、いわゆる『情報安全管理の指針』は、会社を経営する立場の人にとって、なくてはならないものです。この指針には、経営者が取り組むべき大切な十個の対策が示されています。これらは、会社の情報安全を守るための土台となるものです。
まず、会社を取り巻く危険を正しく認識し、どのように対処していくか、方針を明確にすることが重要です。次に、情報安全を守るための役割分担と指揮命令系統をしっかり整える必要があります。そして、人材、予算、設備といった必要な資源を確保しなければなりません。
さらに、潜在的な危険を洗い出し、具体的な対策計画を立てることも大切です。そして、計画を実行するための仕組みを構築し、計画を実行、評価、改善していくという一連の流れを確立する必要があります。
また、万一、情報漏えいなどの問題が起きた場合に備え、迅速な対応と復旧のための体制を整備しておくことも欠かせません。取引先など、関係のある会社全体で安全対策を行うことも重要です。そして、業界団体などを通じて、最新の脅威に関する情報交換や対策の共有に積極的に参加することで、より強固な体制を築くことができます。
経営者は、これらの十個の項目を自社の規模や業種、取り扱う情報の特性に合わせて、適切に実行していく必要があります。これにより、会社全体の情報安全管理のレベルを高め、安全な経営を実現できるのです。
| 情報安全管理の十個の対策 |
|---|
| 会社の危険を認識し、対処方針を明確にする |
| 情報安全を守るための役割分担と指揮命令系統を整える |
| 人材、予算、設備といった必要な資源を確保する |
| 潜在的な危険を洗い出し、具体的な対策計画を立てる |
| 計画を実行するための仕組みを構築する |
| 計画を実行、評価、改善していく流れを確立する |
| 情報漏えいなどの問題発生に備え、迅速な対応と復旧のための体制を整備する |
| 取引先など関係会社全体で安全対策を行う |
| 業界団体などを通じて、最新の脅威情報や対策を共有する |
| 自社の規模や業種、情報の特性に合わせて、適切に実行する |
対策の進化
近年の情報技術の進歩は目覚ましいものですが、それと同時に、情報の不正な利用や攻撃といった脅威も高度化しています。従来の情報安全対策は、外部からの侵入を防ぐことに重点が置かれていました。しかし、攻撃の手口は巧妙さを増し、従来の対策だけでは十分に防ぎきれないケースが残念ながら増加しています。
2017年に更新された情報セキュリティ対策の指針(バージョン2.0)では、こうした現状を踏まえ、二つの重要な対策が新たに追加されました。一つ目は、攻撃に対応するための仕組みを作ることです。侵入を完全に防ぐことは難しいという前提に立ち、早期発見と迅速な対応によって被害を最小限に抑えることを目指します。具体的には、怪しい動きを常に見張る監視体制の強化や、いざという時に対応手順を定めた計画の策定などが挙げられます。二つ目は、被害からの回復に備えた体制を作ることです。万が一、情報漏えいなどの被害が発生した場合でも、速やかに事業を再開し、影響を最小限に食い止めるための準備が重要になります。具体的には、重要な情報のバックアップ体制の構築や、復旧手順を定めた計画の策定などが挙げられます。
もはや、入り口を守る対策だけでは、安全を確保することはできません。建物の入り口に鍵をかけるだけでなく、部屋の中にも複数の鍵を設けるように、何段階もの対策を重ねることで、より強固な防御体制を築く必要があります。そして、たとえ被害が発生した場合でも、速やかに復旧できる準備を整えておくことが、今の時代には不可欠と言えるでしょう。情報セキュリティ対策は、常に変化する脅威に合わせて進化させていく必要があります。
| 従来の情報セキュリティ対策の課題 | 外部からの侵入を防ぐことに重点が置かれていたが、攻撃の高度化により、従来の対策だけでは不十分になっている。 |
|---|---|
| 情報セキュリティ対策の指針(バージョン2.0)で追加された対策 | |
| 1. 攻撃に対応するための仕組みづくり | 侵入を完全に防ぐことは難しいという前提に立ち、早期発見と迅速な対応によって被害を最小限に抑えることを目指す。 例:監視体制の強化、対応手順の策定 |
| 2. 被害からの回復に備えた体制づくり | 情報漏えいなどの被害発生時、速やかに事業を再開し、影響を最小限に食い止めるための準備。 例:重要な情報のバックアップ、復旧手順の策定 |
| まとめ | 入り口を守る対策だけでなく、多段階の対策と迅速な復旧体制が不可欠。 情報セキュリティ対策は、常に変化する脅威に合わせて進化させる必要がある。 |
継続的な改善
情報を取り扱う世の中では、安全を守るための対策は一度きりでは十分ではありません。 悪意のある攻撃や巧妙な侵入の手口は、まるで生き物のように常に変化し続けています。そのため、一度作った対策もそのままではすぐに効果が薄れてしまうのです。
そこで重要となるのが、PDCAと呼ばれる、計画を立て、実行し、評価を行い、改善するという一連の流れを繰り返し行う手法です。まず、現状の安全対策で何が不足しているのか、どのような危険が予想されるのかを念入りに調べ、具体的な計画を立てます。次に、その計画に基づいて対策を実行に移します。新しい仕組みを導入したり、担当者に研修を行ったりと、計画の内容は多岐にわたります。
実行した対策がどれほど効果を発揮したのかを評価することも欠かせません。想定外の事態が発生した場合は、その原因を分析し、次の計画に反映させます。そして、この評価に基づいて、更なる改善策を検討し、再び計画を立て直すのです。このサイクルを絶え間なく回し続けることで、安全対策は常に最新の状態に保たれ、変化する脅威にも対応できるようになります。
加えて、最新の脅威に関する情報を常に集め続けることも大切です。新聞や専門誌、インターネットなどを通じて、世界中で発生している事件や最新の攻撃手法、効果的な対策技術などの情報を収集し、自社の対策に役立てなければなりません。まるで、敵の動きを常に監視し、先回りして対策を講じるようなイメージです。絶え間ない努力と改善によってのみ、高い安全性を維持し続けることができるのです。
未来への備え
情報技術の活用が進む現代社会において、会社の情報資産を守ることは、事業を続けていく上で欠かせない要素となっています。まるで会社の生命線とも言える情報資産が危険にさらされれば、事業の継続が危ぶまれるだけでなく、会社の信頼や評判も大きく損なわれる可能性があります。だからこそ、経営陣が率先して情報資産を守るための対策に取り組むことが重要です。
『情報資産安全管理の手引き』は、経営陣が情報資産を守るための対策を考え、実行するための道しるべとなるものです。この手引きを活用することで、会社の実情に合った対策を立て、安全な事業活動を維持し、会社の価値を守り、将来の成長につなげることが可能になります。
情報技術を取り巻く環境は常に変化し、新たな危険も次々と現れています。そのため、一度対策を立てればそれで終わりではなく、常に学び続け、改善していく必要があります。会社の情報資産を守るための仕組みを継続的に見直し、強化することで、変化する脅威にも対応できる強固な体制を築くことができます。
例えば、従業員一人一人に対する教育を定期的に実施し、最新の危険やその対策について理解を深めてもらうことが大切です。また、実際に起きた事象や最新の情報を参考に、自社の対策に不足がないか、改善すべき点はないかを常に確認し、必要に応じて対策を更新していくことも重要です。このような継続的な学習と改善を通じてこそ、情報技術の進歩とともに高度化する脅威から会社を守り、将来にわたって事業を成長させることができるのです。
