「経営者のリーダーシップ」こそ、セキュリティー対策の原動力に
「サイバーセキュリティ経営ガイドライン」は、主に経営者向けのパートである「サイバーセキュリティ経営の3原則」と、セキュリティー担当役員や担当者を対象とした「サイバーセキュリティ経営の重要10項目」で構成されています。
前半部の「サイバーセキュリティ経営の3原則」は、いわば企業の舵取り役である経営者が、サイバーセキュリティーと向かい合う際に認識しておくべき内容を三つにまとめたものです。
さらに後半では、経営者のもと、情報セキュリティー担当役員の「CISO(Chief Information Security Officer)」やセキュリティー担当者が実行すべき具体的な対策10項目をもとに、推進することを求めています。
では、実際に「サイバーセキュリティ経営ガイドライン」の具体的な中身を見てみましょう。
一つ目は、経営者によるリスクの認識、およびリーダーシップによるセキュリティー対策の推進です。ここではセキュリティーリスクが企業の命運を分ける課題とし、経営リスクの一つとして正しく捉え、リーダーシップにより経営資源を投じるよう求めています。
二つ目は、サイバーセキュリティーが「自社」に限定された問題ではないことに言及しました。現在のビジネスは、グループ会社はもちろん、委託先、サプライチェーン、取引先など多くのプレイヤーで、事業が成り立っています。そのうちどこか一つが攻撃を受ければ、連鎖して他のプレイヤーの事業まで停止してしまうかもしれません。それを防ぐには広い視野を持って対策を進めていく必要があります。
三つ目は、ステークホルダーとのリスクに関するコミュニケーションです。インシデント発生時はもちろん、平時より関係者と適切なコミュニケーションを取ることで信頼性の醸成を進めるほか、業界全体のリスク低減を見据えた情報共有の重要性も挙げています。
見逃してはならないポイントは、セキュリティーへの投資について「リターンの算出はほぼ不可能」と述べている点でしょう。これらが積極的な投資行動を回避させ、リスクを見過ごす原因になっていると指摘しています。
セキュリティー対策の「投資対効果」を示すことが困難であるということは、収益重視の企業経営のなかで、現場が重大な危機感を感じてもボトムアップで解決していくのが難しい課題であることを意味します。
そのため判断を現場任せにせず、リーダーシップによるトップダウンで対応していくことが求められているのです。無論、対策を推進するというのは、闇雲に投資額を増やすという意味ではありません。直面するリスクに関する情報をしっかりと現場から収集し、事業継続性への影響を踏まえた上で、ときに大胆さを持ちつつも、バランスをもって合理的に判断していくことが必要です。
CISOやCSIRTなど「橋渡し人材」を設置することが実践のポイント
