【経営者必見】サイバーセキュリティ経営ガイドラインとは?

先日、IPA(情報処理推進機構)から「サイバーセキュリティ経営ガイドラインVer.2.0実践のためのプラクティス集」という小冊子が発行されました。

概要としては、「経営層によるサイバーセキュリティ対策の推進が求められている」という前提のもと、それをより具体的に実践するために事例や考え方、ヒントを提供する内容となっています。

冊子が想定する読者

冊子が想定する読者ですが、この時点で横文字が出てきているので、横文字アレルギーの方にはいきなりしんどいような気がしています(冊子の末尾に用語集が付録としてついていますが)。

想定する読者は、

  1. サイバーセキュリティに向けてリスクマネジメントを強化したい経営者
  2. サイバーセキュリティ対策の責任者となる担当幹部、CISO
  3. サイバーセキュリティ対策の担当者、CSIRTのメンバー等
  4. 上記人材の育成や支援を担当する社内外の事業者

となっています。実際には3,4が読者の大半と思われます。

ちなみに、CISO(シーアイエスオー)とは、最高●●責任者系の用語で、「Chief Information Security Officer 最高情報セキュリティ責任者」となります。CISO専任者を設置出来るのは大企業に限られると思いますので、私は一般的には専任でなくてもよいと考えております。

また、CSIRT(シーサート)とは、 Computer Security Incident Response Teamの略で、組織内の情報セキュリティ問題を専門に扱うチームのことです。CSIRTも同様に専任でなくてもよいと思います。

章の構成と注目ポイント

冊子は全3章から構成されています。

第1章はサイバーセキュリティの概要(経営への影響など)、第2章は事例の紹介(社員数1,000人規模以上の事例が多数)、第3章はセキュリティ担当者の悩みという構成になっています。

個人的には、第3章が着眼点的に面白いと思いました。

どうしようもないことを書いてしまいますが、この冊子は、「サイバーセキュリティー経営ガイドライン」と銘打たれているものの、多くの経営者は読まないでしょう。結局目を通すのは実務担当者になるという訳です。ですから、担当者の悩みという切り口で章を立てることは理にかなっていると思います。

第3章では、担当者の悩みという切り口で課題を10個列挙しています。

そのうちの二つをピックアップしてみます。

項番8.IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている

項番的には1番上に来てもよさそうな悩みです。

情報システムは事業を継続する上での重要インフラです。インフラということは「情報システムは動いていて当たり前」という位置づけになります。運用管理者というのは、その「動いて当たり前」というプレッシャーのもと、日々対応しています。しかし、経営者のセキュリティ意識が低ければ、予算も人的リソースも限られた中で対応しなければなりません。

「本来はあのような体制が望ましいのに、現実は穴だらけの状態でだましだまし運用している」という現場は少なくないはずです。

そのような状態から脱出するリソースを確保するためには、経営層に「サイバーセキュリティ対策は重要な経営課題である」という認識を持ってもらうしかありません。セキュリティ対策は何も外部からの攻撃に対してだけするものではありません(完全性・気密性)。中断なく使えるという「可用性」もセキュリティ対策の範囲に含まれます。可用性の確保には予算が掛かりがちです。

何かあってからでは遅いのに、その辺の概要が分かってもらえないという状態は非常にもどかしいのですが、こればかりは自発的に気づいてもらうしかないのかも知れません。

一方で、担当者側もあきらめずに、「何が足りないのか、何故足りないのか」を分かりやすく説明する必要があります。

技術者の中には、技術的に無知な方への説明をあきらめるフシがある方もいて、それでは必要なリソースは確保出来ません。技術的な詳細ではなく、比喩を使うなどして上手く説明することが必要です。

「どうせ分かってもらえるわけもないし」と文句を言いながら根性で対応するというのは、組織的な観点からも不健全な状態と言えます。

経営層は聞く姿勢を、現場担当者は丁寧に説明する姿勢を、一方ではなく、双方に歩み寄ることが大切と思います。

項番1.インシデント対応経験がない要員でCSIRTを組成したが対応に不安がある

これもあるあるです。一番初めに挙げられています。

要は、「やれ」と言われたもののノウハウがない、という状態です。

ノウハウがない場合、手探りでゼロから着手するのもよいのですが、実効性が出るまでに時間が掛かりすぎます。やはり、人材確保や管理体制の構築のためには、手っ取り早く、ノウハウを持った人材を採用するか、採用のハードルが高い場合は、人材育成も含めたコンサルティングを受けるというのが早道と思われます。

宣伝になりますが、項番8も含め、私のような外部専門家を活用するのも有効です。

多くの中小企業の実態と対応の処方箋

私が見てきた範囲での話になりますが、多くの中小企業においては、まだまだサイバーセキュリティ対策にコスト(金銭、人)は割けられていません。端末にウィルス対策ソフトをインストールしてUTMを設置して終わり、といった対応が多数派です。

人員についても、スタッフの誰かが兼任して何となく対応している、というケースも多く、個人としてはパソコンなどをはじめとした情報機器に詳しいものの、組織として対応するためのノウハウは持ち合わせていないということもあります。

冊子の事例は、従業員規模が1,000人以上の大企業・中堅企業が多く、正直なところ多くの中小企業の参考にはならないでしょう。

それでも対応はしなくてはならない場合には、当事務所のバーチャルCIOのようなサービスもお勧めしております。組織の実情(予算、人的リソース…)に合った個別の対応策をご提案出来ると思います。

冊子の入手方法

最後になりますが、冊子の入手方法です。

簡単なアンケートに答えればメルアド等の登録も不要で、誰でもダウンロード出来るので、興味のある方は下記からダウンロードしてください。

ITと経営に関するお悩みはありませんか?

ITに関連する経営課題についてどんな内容でもアドバイス可能です。
お一人で悩まれずに、些細なことだと思われることであっても、お気軽にご相談ください。
もちろん、お問い合わせメールへは無料で対応いたします。