近年ではサイバー攻撃によって個人情報が大量に流出したり、システムが停止されるといった被害が後を絶たない状況です。そのためセキュリティを強化したいけれど、何から手を付ければよいかわからないという経営者も少なくないでしょう。
このような経営者の悩みが解決できるようにと、企業の情報セキュリティ対策の指針として経済産業省で公表されている「サイバーセキュリティ経営ガイドライン」をご存知でしょうか。
巧妙化、悪質化という進化を遂げるサイバー攻撃に対抗するため、その内容も見直しが行われている「サイバーセキュリティ経営ガイドライン」ですが、本格的に改訂された内容が2017年11月16日に公表されています。
サイバー攻撃は年々巧妙化している
会社経営においてITを利活用することは収益性を向上する上でも必要不可欠なものとなっています。しかしその一方で、保有する顧客情報や技術情報などを狙ったサイバー攻撃も増えており、年々巧妙化する手口に対抗しなければならない状況です。
ITやセキュリティ強化に対してどのくらい費やすかは経営者による判断次第ですが、セキュリティ対策の実施はコストと捉えず、将来の企業が成長・発展していく上で必要な投資だと考えるべきでしょう。
経営者が認識しておきたい項目
ガイドラインでは、企業をサイバー攻撃から守るために経営者が認識しておくべき3原則として次の項目を挙げています。
さらに経営者がセキュリティ対策を行う上での責任者となる担当幹部に指示するべきとされる10項目もまとめています。
詳しくは経済産業省の公式サイトから確認できますので、どのような項目になっているか確認しておきましょう。
参考:経済産業省 サイバーセキュリティ経営ガイドライン
https://www.meti.go.jp/policy/netsecurity/mng_guide.html
改訂により追加された項目についても確認を
この10項目の中でも、特に大きく変更された3つの指示について確認しておきましょう。
□攻撃の検知に関して追加された項目
指示5「サイバーセキュリティリスクに対応するための仕組みの構築」では、サイバー攻撃に侵入された企業の約半数が被害に気が付いている状態でありながら、対策は後回しになっている状況のため、サイバー攻撃の早期検知が重要であることを認識し対策を行うことを促しています。
□復旧に関して追加された項目
指示8「インシデントによる被害に備えた復旧体制の整備」では、BCP(業務継続計画)の策定が進んでいても、自然災害対策等を想定したもので、サイバー攻撃による被害からの復旧は考慮されていないことを問題としています。システムの稼働を継続する上で影響するサイバー攻撃も拡大しているため、復旧に関する対策を強化することを求めています。
□その他追加された項目
指示9「サプライチェーンのビジネスパートナーや委託先等を含めたサイバーセキュリティ対策の実施及び状況把握」では、委託先のリスクマネーの確保、ISMS(情報セキュリティマネジメントシステム)の活用、セキュリティアクションなどの把握について追記されています。
