こんにちは、オフィス電話本舗新人のMです。
今回はサイバーセキュリティにおける経営者の役割について解説します。
サイバーセキュリティというとついつい情報システム担当に任せておこう、と考えてしまう経営者の方も多いかと思います。
しかし、経済産業省やIPA(情報処理推進機構)では、サイバーセキュリティ対策は経営者の視点からも行っていくこと、経営者に大切な役割があることを「サイバーセキュリティ経営ガイドライン」の中で示しています。
参考資料:「サイバーセキュリティ経営ガイドライン ver2.0」経済産業省・独立行政法人情報処理推進機構
経営者が認識すべき3原則
経営者は、サイバーセキュリティ対策において以下の3原則を認識し、進めていくことが重要だと示されています。
- リーダーシップをとって対策を進めていく
- 自社だけでなく、ビジネスパートナーや委託先も含めたサプライチェーンに対する対策も進めていく
- サイバーセキュリティに関して、ステークホルダーとのコミュニケーションをとっていく
1つずつ詳しく見ていきましょう。
画像引用元:付録F(概要版) サイバーセキュリティ体制構築・人材確保の手引き 第1.1版(PDF形式)/経済産業省ホームページ
1.リーダーシップをとって対策を進めていく
全体に関わること、予算や人材に関わることは、情報システム部門など、1つの部門だけでは進めていくことが難しいため、経営者がリーダーシップをとることでスムーズに進めることができます。
具体的には以下の8つの項目をリーダーシップをとってするべきとされています。
- 社内全体でサイバーセキュリティ対応について方針を決めていく
- 新たにリスク管理体制の構築をする
- 予算、人材など資源の確保をする
- リスクの把握とリスクの対応に関する計画の策定
- リスクに対応するための仕組みの構築
- 対策におけるPDCAサイクルの実施
- インシデント発生時の緊急対応体制の整備
- インシデントによる被害に備えた復旧体制の準備
今やデータによる情報資産を所持、使用しているのは情報システム部門だけではありません。ほぼ全ての部門で所持、使用されています。
そのため、企業全体で共通とした方針の策定や、リスクに対応する仕組みの構築・整備が必要になります。
また、万が一起きた場合にどのように対応していくかということも考え、備えておくべきでしょう。
一見とても難しく、多くの課題があるように見えますが、もちろん全て経営者が考え、調べていく必要はありません。
経営者がとるのは、リーダーシップです。
担当を決めて任せたり、専門家に依頼したりしながら進めていけばよいのです。
サイバーセキュリティに対して、自社が現在どのような状況で、今後どのような対応をしていけばよいのかについては、IPAによる「サイバーセキュリティ経営可視化ツール」、中小企業の場合はより簡易な「5分でできる!情報セキュリティ自社診断」、中小企業の組織向けの「情報セキュリティ対策ベンチマーク」を利用することでわかりやすくなるかと思います。
これらの診断については「IPAよりサイバーセキュリティ経営可視化ツール「ウェブ版」登場!」で詳しくご紹介していますので、よろしければご覧ください。
2.自社だけでなく、サプライチェーンに対する対策も進めていく
自社だけではなく、ビジネスパートナーや委託先も含めたサプライチェーンのセキュリティ対策についても進めていく必要があります。
自社がしっかりセキュリティ対策をしていても、サプライチェーンから情報漏洩や、損失が出てしまう場合があります。
サイバーセキュリティ対策をしないことで、商談のチャンスを逃す可能性も!?
この項目にあるように、サイバーセキュリティ対策をきちんと考慮した経営が行われている会社では、取引先などの対策も意識するようになっています。
そのため、自社がサイバーセキュリティ対策をしていなかった場合、大事な商談のチャンスを逃してしまう場合があるのです。
逆にいえば、セキュリティ対策をしっかりしていることをアピールできれば、新たな商談のチャンスが得られるという事でもあります。
サイバーセキュリティ対応方針を策定し宣言、開示することや、情報共有をしていくことはアピールとなります。
また、日ごろの業務でもメールの暗号化がしっかりされていることなど、日々の積み重ねで信頼を築いていくこともできます。
メールの暗号化や誤送信防止などは、サクサセキュリティゲートウェイGE1000などを使用することで日々の業務の手間を増やさずに実装することも可能です。
詳しくは以下の記事をご覧になるか、オフィス電話本舗までお気軽にお問い合わせください。
「誤送信防止も!メールセキュリティの強い味方「サクサ情報セキュリティゲートウェイ GE1000」」
3.サイバーセキュリティに関して、ステークホルダーとのコミュニケーションをとっていく
取引先や顧客などステークホルダーと日ごろからコミュニケーションを取ることで、信頼を築き、不信感の高まりを抑えることができます。
自社のセキュリティ対策を明らかにするのはもちろん、相手とも情報共有をし、その情報を有効活用していくことでお互いにとっての利益にもつながります。
マルウェアの情報共有や、最近ではテレワークに関するセキュリティ対策の情報交換などもされる場面が多いのではないでしょうか?
「自社ではテレワークのためにこんな対策をしています」と答えられるような対策の導入の検討は、ステークホルダーとコミュニケーションをとる中で非常に重要です。
「自社の対応をはっきり答えられない…!」と感じた方は、ぜひオフィス電話本舗までご相談いただければと思います。
サクサSS7000など、テレワークでも安全な環境が構築できる製品のお取り扱いもしています。
サクサSS7000についての詳しい記事はコチラ「メリットがいっぱい!「サクサUTMSS7000」についてもっと詳しく!」
サイバーセキュリティ対策には経営者のリーダーシップが重要!
組織全体、そしてステークホルダーへの働きかけも必要なサイバーセキュリティ対策には、経営者によるリーダーシップがとても重要になってきます。
セキュリティ経営可視化ツールなども使いながら、自社のサイバーセキュリティ対策が大丈夫か、何をしていけばよいのかなどこの機会にぜひ確認してみてください。
UTMの導入や安心なテレワークの導入方法等にお悩みの場合は、オフィス電話本舗までお気軽にご相談ください。
