社内での取り組み
社内でセキュリティ対策をするためには、
ルールづくりが必要です。
ルールづくりで必要なポイントは何でしょうか。
トップダウンの意思決定が理想
実際のところサイバー攻撃は、
被害に遭うかどうかがわかりません。
被害に遭うかどうか分からないのに、
大切な予算を使って対策できるかどうか?
しかし、もしも攻撃を受けてしまったら、
損害は免れません。
こうした状況の中で担当者の視点からボトムアップで対策を実施するのは、
なかなか難しい側面があります。
このような不確実な要素については、
担当者レベルではなく、
経営層や管理職が判断すべき領域になります。
ですから各部門のトップはセキュリティ対策についての理解を
しっかりと深めておく必要があります。
セキュリティ担当者がいくら対策をしようとしても、
トップの理解がなければその部門での対策は疎かになるでしょう。
ルールを上手に浸透させるには
社内にセキュリティに関するルールを浸透させようとする時、
ITセキュリティ部門と他部署に軋轢を生まないようにすることが重要です。
例えば、セキュリティ強化のために
今まで使っていたものを急に禁止したりするのは、
業務に支障が出るので現場の反感を買いかねません。
まずは、攻撃された時や、
人為的ミスで情報漏洩してしまった時のリスクを丁寧に伝えながら、
なぜルールが必要なのかを説明し、少しずつルールを浸透させていきます。
最初は最小限の対応から始めるのが良いでしょう。
例えば、
- OSやソフトウェアを最新の状態にしておく。
- パスワードを使い回さない。
- パスワードを簡単なものにしない。
- メールに添付されたファイルやリンクを不用意に開けない。
- 外出する時にパソコンやタブレットを持ち出す場合は、
紛失や盗難に注意する。 - 定期的にデータのバックアップを取っておく。
といった基本ができていない場合もあるので、
まずは、このような取り組みを徹底していきます。
また、セキュリティ強化のために新しいシステムを導入することになった時には、
ITリテラシーが低い人に対しては重点的なフォローも必要になります。
そういった体制を整えることも忘れないでください。
大切なことは、それぞれの部署に寄り添い、理解を示す態度です。
必要に応じて、
現場の声もヒアリングしながら進めましょう。
サイバーセキュリティ経営ガイドライン
セキュリティ対策を経営課題として取り上げているガイドラインがあります。
それが経済産業省と情報処理推進機構が出している
「サイバーセキュリティ経営ガイドライン」です。
このガイドラインの趣旨は、
企業の経営者がセキュリティリスクを経営リスクと認識して組織的な対策を推進し、
リーダーシップによってセキュリティ責任者に的確に指示をすることです。
セキュリティ対策は、一般的に「コスト」と捉える
経営者が少なくありません。
しかし、そうではありません。
セキュリティ対策をすることは、
持続的に被害を抑える「投資」と位置づけるべきであり、
対策をすることは経営において不可欠であることを伝えています。
適切な対策をせずにサイバー攻撃を受け、
情報漏洩をしてしまったり、データにアクセスできなくなり、
業務が停止してしまっては企業価値が下がるため、
それは経営者の責任となってしまうのです。
経営者が認識すべき3原則
ガイドラインでは、経営者が認識すべき「3原則」と、
対策責任者に指示すべき内容をまとめた「重要10項目」がありますが、
ここでは「3原則」を紹介します。
- 経営者は、サイバーセキュリティリスクが
自社のリスクマネジメントにおける重要課題であることを認識し、
自らのリーダーシップのもとで対策を進めることが必要 - サイバーセキュリティ確保に関する責務を全うするには、
自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、
サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要 - 平時及び緊急時のいずれにおいても、
効果的なサイバーセキュリティ対策を実施するためには、
関係者との積極的なコミュニケーションが必要
10項目については下に記載の
「サイバーセキュリティ経営ガイドライン」のページで確認してください。
次のレッスンでは、
セキュリティ担当者の人材確保について解説していきます。
