CISOやCSIRTなど「橋渡し人材」を設置することが実践のポイント

「サイバーセキュリティ経営の重要10項目」のパートでは、前述の3原則のもと、実際に経営者のリーダーシップによって、CISO（Chief Information Security Officer）やセキュリティー担当者が実践すべき「10」のセキュリティー対策を述べています。

この10項目では、サイバーセキュリティーリスクへの対応について、組織の内外に示すための「セキュリティポリシー」を策定することをはじめ、サイバー攻撃を受けた場合に備えて経営者が実践すべき内容を示しています。具体的には、「被害発覚後の通知先や開示が必要な情報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要な説明ができるよう準備しておくこと」といった対策です。

このようにリスクへ対応するための体制構築をはじめ、リスク管理の枠組みや、リスクへの事前・事後対策など解説しています。想定される危機をイメージできるよう、対策を怠った場合のシナリオや対策の例もあわせて記載されています。

各項目の推進は当然重要ですが、注目すべきは、それらを推進する上で「CISO」や、組織においてインシデント対応などを行う「CSIRT（Computer Security Incident Response Team）」など、ビジネスとセキュリティーの間をつなぐ、いわゆる「橋渡し人材」の存在を前提として語られていることです。これはサイバーセキュリティー経営を実践する上での大きなポイントです。

企業の置かれているリスク環境を把握し、経営へ与える影響を他の役員へ説明したり、上層部で決定したセキュリティー戦略を組織へフィードバックする際の司令塔となるCISOは、非常に重要な役割です。経営層がセキュリティーに関してもリーダーシップを発揮するには、こうしたバックボーンが不可欠であることを、ガイドラインは示しています。

一方で、情報処理推進機構（IPA）が2015年に実施した「企業におけるサイバーリスク管理の実態調査」によれば、セキュリティーを専門に扱う役員「CISO」を任命している企業は、年間売上高10億円以上の大企業で38.3％、1～10億円の中堅企業で17.7％に過ぎません。

セキュリティー人材の不足が叫ばれており、今後、安定した企業運営において、マネジメント面、技術面からセキュリティーを理解し、効果的なセキュリティー対策を実践できる優秀な人材の確保こそ、「大きな鍵」となるでしょう。

2020年の東京オリンピック・パラリンピックに向けて、高まるセキュリティーリスク

2020年には、東京オリンピック・パラリンピック競技大会といった大きなイベントを控えています。世界から日本が注目され、かつ経済効果への期待が高まる一方、サイバー攻撃への懸念は拭い切れません。攻撃者にとっては、話題性のあるイベントはサイバー攻撃の格好の標的なのです。実際、2012年に開催されたロンドンオリンピック・パラリンピック競技大会では、ウェブサイトに対する攻撃だけでも約2億回に及びました。

さらにIoTの拡大やビッグデータ、人工知能など、サイバー空間とビジネスの関わり方も、大きな変化を迎えています。「国境」という壁がないサイバーの世界で、企業がいかに悪質なサイバー攻撃から自らの身を守り、事業継続性を確保していくか。「サイバーセキュリティ経営ガイドライン」は、経営者の大きな役割を示したと同時に、いかにセキュリティーガバナンスを推進するか課題を投げ掛けています。