SHOEISHA iD

パスワードを忘れた場合はこちら

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

  • 新規
    会員登録
  • 新規会員登録

ニュース

記事

Security Online

DB Online

イベント

講座

特集

ブログ

新着記事一覧を見る

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

EnterpriseZine編集部ではイベントを随時開催しております

EnterpriseZine編集部ではイベントを随時開催しております

イベント一覧はコチラから

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

紛争事例から学ぶ! 実践ベンダーコントロール習得講座

講座一覧はコチラから

Security Online Press(AD)

判例から学ぶ情報セキュリティ対策~CISOは何をすべきか

万が一のために情報のトリアージと方針を定めておくこと

 「必要な範囲をタイムリーに」と言われても「そんな曖昧な」と困惑してしまうかもしれない。常にセキュリティのトレンドを追いかけるのも簡単ではない。「うちはセキュリティの専門会社ではない。専任者をアサインできない」という本音もあるだろう。

 細川氏は「だからこそ、仕組みが必要なのです。情報のトリアージと、それに応じた情報保護方針が必要です」と説く。

 まず着手すべきなのは情報のトリアージ、言い換えると社内にある情報の棚卸しだ。どのような情報があり、どのくらい保護すべきかを分類する。例えば個人情報、取引先の秘密情報、国家機密などは最重要な情報と分類できる。何があっても保護すべき対象だ。ほかに未発表の製品情報、経営戦略情報、社員の個人情報など、影響を考えて分類していく。

 分類したなら、重要度に応じてどこまで保護するか方針を定める。例えば最重要なものなら「個人のパソコンに情報を保存しない」「●●のみが閲覧可能とする」「インターネットに接続しない環境で作業する」「●分で自動削除する」「アクセスログを定時ごとに確認する」などだ。これらはあくまで方針の一例で、暗号化、ウィルス対策、認証、ファイアウォールなど基本的な対策は導入済みという前提の上だ。

 もうひとつ。万が一の事故を想定し「お金と謝罪についても考えておくべき」と細川氏はアドバイスする。まずは情報の値付けをしておく。もし漏えいしたらどれだけの損失になるか計算しておくということ。次に、漏えいが起きたときに誰が謝り、誰が損金を決済するかを定めておく。アサインされた人物は万が一の時にどう対処すべきか、普段から準備しておく。まとめると金額、役割、対処だ。

 担当者のモチベーションを維持するための配慮も重要になる。「ぼくはセキュリティ担当になるためにこの会社に入ったのではない」と失望させないように、セキュリティ担当者向けのキャリアパスを考えるなどジョブローテーションを施す必要もあるだろう。

経営者はセキュリティ対策で何をすべきか

 続けて日立システムズの山野浩氏が、経済産業省の「サイバーセキュリティ経営ガイドライン Ver 1.0」を挙げて企業がすべきことを解説した。これは経済産業省が経営者のリーダーシップの下でサイバーセキュリティ対策を進めるために公開しているガイドラインだ。

山野 浩氏 日立システムズ
山野 浩氏 
株式会社日立システムズ
参考:経済産業省 サイバーセキュリティ経営ガイドライン

 ガイドラインでは「はじめに」と冒頭から「サイバー攻撃によるリスクへの対処に係わる判断を行うことは、経営者の役割である」と断じている。次に3原則として、経営者のリーダーシップ、自社だけではなく系列会社やビジネスパートナーも含めること、関係者との適切なコミュニケーションの重要性が指摘されている。ここは経営者が特に意識しておくべきこととなる。

 具体的に企業経営者が何をすべきかは「サイバーセキュリティ経営の重要10項目」としてポイントが掲げられている。これを分類すると、リーダーシップと体制、リスクの管理と計画、サイバー攻撃の事前対策、サイバー攻撃の事後対策の4つ。ここをかみ砕いていけば、具体的にやるべきことが見えてくる。

リーダーシップと体制

 ここは企業のセキュリティポリシー策定や、CISOからなる管理体制の構築が具体的な施策となる。企業の体制としてサイバーセキュリティのリスクマネジメントを整えておくことにあたり、経営者が主導し責任の所在を明確化しておくこと、体制や方針を社内外に明示できるようにしておくことが重要となる。

リスクの管理と計画

 まずは企業が守るべき資産を特定し、リスクを洗い出す。リスクの考え方は情報資産の価値と情報を利用する環境から、現状のセキュリティ対策を加味して現状のセキュリティリスクの全体感と課題をつかむ。加えて対策のPDCAを実施し、経営者と共有することも大事だ。さらに原則で述べられていたように自社以外にもビジネスパートナーも含めて考えることも忘れてはならない。

サイバー攻撃の事前対策

 対策に必要なPDCAがきちんと運用できるように人材や予算を確保する。人材は自社だけで確保は難しいため、外部の専門家と協力することも重要だ。もちろん自社の組織力や育成も並行して行う。大事なのは自社対応と外部委託で適切な切り分けができるかどうか。またこの部分は技術的な対策のメインとなる。入口対策や出口対策だけではなく、内部対策など多層に防御して防衛力を高める。

サイバー攻撃の事後対策

 実際にサイバー攻撃が発生したことを想定し、被害を最小限に抑えるように初動と体制を整備しておく。言い換えるとCSIRTがきちんと機能するように準備する。加えて外部への情報開示も準備しておく。どのタイミングで誰がどう説明するかなど。

 山野氏は経営者を巻き込みながら薦めるためには、「まずはリスクの把握から」と強調する。「全体像を把握してから具体的な対策への落とし込みへと進み、ロードマップを作成して優先度の高いものから段階的に着手していくといいでしょう」とアドバイスした。

次のページ
経営層を巻き込むにはどうしたらいいか、本音トーク

PREV
NEXT

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
Security Online Press連載記事一覧

もっと読む

この記事の著者

加山 恵美(カヤマ エミ)

EnterpriseZine/Security Online キュレーターフリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。Webサイト:https://emiekayama.net

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この著者の最近の執筆記事

【AD】本記事の内容は記事掲載開始時点のものです 企画・制作 株式会社翔泳社

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/7916 2016/05/18 11:01

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

  1. 1
    齊藤愼仁氏が斬る“大手情シス”の実態──必要なのは情シスの「成功体験」が生み出す企業変革の好循環
  2. 2
    KADOKAWAにおけるデータマネジメントと生成AI活用への道筋 鍵は「セマンティックレイヤー」
  3. 3
    生成AI“グレーゾーン”どう乗り越える? 社員6,000名が利用する「セガサミー版GPT」軌跡と構想
  4. 4
    LockBitの摘発、国防総省やCISAにいた専門家はどう見る 今グローバルで何が起こっているのか
  5. 5
    「止まらない」から「レジリエント」なシステムに──金融機関におけるクラウド活用とAWSの取り組み
  6. 6
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  7. 7
    親の介護で第一線を退くも、古巣で初の女性社長に──フューチャーアーキテクト神宮氏が体現する「多様性」
  8. 8
    生成AIをいち早く導入した3社のリーダーが集結!今だから明かす「やっておいて良かったこと」
  9. 9
    AIが企業の「調達と購買」を最適化する:Coupaの「Community.ai」とは?
  10. 10
    コンサル依存のIT部門を12週間でビジネスに“強い”組織へ 経験学習による能動的マインド醸成法とは
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング

  1. 1
    齊藤愼仁氏が斬る“大手情シス”の実態──必要なのは情シスの「成功体験」が生み出す企業変革の好循環
  2. 2
    KADOKAWAにおけるデータマネジメントと生成AI活用への道筋 鍵は「セマンティックレイヤー」
  3. 3
    生成AI“グレーゾーン”どう乗り越える? 社員6,000名が利用する「セガサミー版GPT」軌跡と構想
  4. 4
    LockBitの摘発、国防総省やCISAにいた専門家はどう見る 今グローバルで何が起こっているのか
  5. 5
    「止まらない」から「レジリエント」なシステムに──金融機関におけるクラウド活用とAWSの取り組み
  6. 6
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  7. 7
    親の介護で第一線を退くも、古巣で初の女性社長に──フューチャーアーキテクト神宮氏が体現する「多様性」
  8. 8
    生成AIをいち早く導入した3社のリーダーが集結!今だから明かす「やっておいて良かったこと」
  9. 9
    AIが企業の「調達と購買」を最適化する:Coupaの「Community.ai」とは?
  10. 10
    コンサル依存のIT部門を12週間でビジネスに“強い”組織へ 経験学習による能動的マインド醸成法とは
  1. 1
    サイバーエージェントが生成AI活用で「6割の業務削減」を宣言 独自開発中の「AIナスカ」が一翼を担う
  2. 2
    2024年の「生成AI」活用の成否は“検索”にあり キーワードは検索エンジン×生成AI
  3. 3
    塩野義製薬のデータサイエンス戦略と実践──データ駆動で目指すヘルスケアの未来
  4. 4
    大和ハウス工業がBIM導入率100%の先に描く“建設の民主化”「まだDXの“氷山の一角”に過ぎない」
  5. 5
    生成AIの爆発的な注目を経て「PoC実施中」が最多か KyndrylのAIリーダーが動向を分析
  6. 6
    選考委員と読み解く『情報セキュリティ10大脅威 2024』CIO/CISOが意識すべきポイントとは
  7. 7
    塩野義製薬が「HaaS」企業への変革で重視する“外部パートナーとの協創” 下準備としてID管理に着手
  8. 8
    変革のためには“良い土壌”を整えることから──J.フロント リテイリング野村氏が奮闘した2年の成果
  9. 9
    「2年で生成AIを日常業務に浸透させる」 サッポログループが実践する“社員に使ってもらう”ための戦略
  10. 10
    「工場セキュリティ」強化に立ち上がる──資生堂を中心とした10社の実務者が“平時の訓練”を提言