SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

Security Online Press(AD)

判例から学ぶ情報セキュリティ対策~CISOは何をすべきか

万が一のために情報のトリアージと方針を定めておくこと

 「必要な範囲をタイムリーに」と言われても「そんな曖昧な」と困惑してしまうかもしれない。常にセキュリティのトレンドを追いかけるのも簡単ではない。「うちはセキュリティの専門会社ではない。専任者をアサインできない」という本音もあるだろう。

 細川氏は「だからこそ、仕組みが必要なのです。情報のトリアージと、それに応じた情報保護方針が必要です」と説く。

 まず着手すべきなのは情報のトリアージ、言い換えると社内にある情報の棚卸しだ。どのような情報があり、どのくらい保護すべきかを分類する。例えば個人情報、取引先の秘密情報、国家機密などは最重要な情報と分類できる。何があっても保護すべき対象だ。ほかに未発表の製品情報、経営戦略情報、社員の個人情報など、影響を考えて分類していく。

 分類したなら、重要度に応じてどこまで保護するか方針を定める。例えば最重要なものなら「個人のパソコンに情報を保存しない」「●●のみが閲覧可能とする」「インターネットに接続しない環境で作業する」「●分で自動削除する」「アクセスログを定時ごとに確認する」などだ。これらはあくまで方針の一例で、暗号化、ウィルス対策、認証、ファイアウォールなど基本的な対策は導入済みという前提の上だ。

 もうひとつ。万が一の事故を想定し「お金と謝罪についても考えておくべき」と細川氏はアドバイスする。まずは情報の値付けをしておく。もし漏えいしたらどれだけの損失になるか計算しておくということ。次に、漏えいが起きたときに誰が謝り、誰が損金を決済するかを定めておく。アサインされた人物は万が一の時にどう対処すべきか、普段から準備しておく。まとめると金額、役割、対処だ。

 担当者のモチベーションを維持するための配慮も重要になる。「ぼくはセキュリティ担当になるためにこの会社に入ったのではない」と失望させないように、セキュリティ担当者向けのキャリアパスを考えるなどジョブローテーションを施す必要もあるだろう。

経営者はセキュリティ対策で何をすべきか

 続けて日立システムズの山野浩氏が、経済産業省の「サイバーセキュリティ経営ガイドライン Ver 1.0」を挙げて企業がすべきことを解説した。これは経済産業省が経営者のリーダーシップの下でサイバーセキュリティ対策を進めるために公開しているガイドラインだ。

山野 浩氏 日立システムズ
山野 浩氏 
株式会社日立システムズ
参考:経済産業省 サイバーセキュリティ経営ガイドライン

 ガイドラインでは「はじめに」と冒頭から「サイバー攻撃によるリスクへの対処に係わる判断を行うことは、経営者の役割である」と断じている。次に3原則として、経営者のリーダーシップ、自社だけではなく系列会社やビジネスパートナーも含めること、関係者との適切なコミュニケーションの重要性が指摘されている。ここは経営者が特に意識しておくべきこととなる。

 具体的に企業経営者が何をすべきかは「サイバーセキュリティ経営の重要10項目」としてポイントが掲げられている。これを分類すると、リーダーシップと体制、リスクの管理と計画、サイバー攻撃の事前対策、サイバー攻撃の事後対策の4つ。ここをかみ砕いていけば、具体的にやるべきことが見えてくる。

リーダーシップと体制

 ここは企業のセキュリティポリシー策定や、CISOからなる管理体制の構築が具体的な施策となる。企業の体制としてサイバーセキュリティのリスクマネジメントを整えておくことにあたり、経営者が主導し責任の所在を明確化しておくこと、体制や方針を社内外に明示できるようにしておくことが重要となる。

リスクの管理と計画

 まずは企業が守るべき資産を特定し、リスクを洗い出す。リスクの考え方は情報資産の価値と情報を利用する環境から、現状のセキュリティ対策を加味して現状のセキュリティリスクの全体感と課題をつかむ。加えて対策のPDCAを実施し、経営者と共有することも大事だ。さらに原則で述べられていたように自社以外にもビジネスパートナーも含めて考えることも忘れてはならない。

サイバー攻撃の事前対策

 対策に必要なPDCAがきちんと運用できるように人材や予算を確保する。人材は自社だけで確保は難しいため、外部の専門家と協力することも重要だ。もちろん自社の組織力や育成も並行して行う。大事なのは自社対応と外部委託で適切な切り分けができるかどうか。またこの部分は技術的な対策のメインとなる。入口対策や出口対策だけではなく、内部対策など多層に防御して防衛力を高める。

サイバー攻撃の事後対策

 実際にサイバー攻撃が発生したことを想定し、被害を最小限に抑えるように初動と体制を整備しておく。言い換えるとCSIRTがきちんと機能するように準備する。加えて外部への情報開示も準備しておく。どのタイミングで誰がどう説明するかなど。

 山野氏は経営者を巻き込みながら薦めるためには、「まずはリスクの把握から」と強調する。「全体像を把握してから具体的な対策への落とし込みへと進み、ロードマップを作成して優先度の高いものから段階的に着手していくといいでしょう」とアドバイスした。

次のページ
経営層を巻き込むにはどうしたらいいか、本音トーク

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7916 2016/05/18 11:01

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング