{{ message }}
Article square balloon green
2017-11-07

サイバーセキュリティで経営者が絶対に押さえるべき3大原則と10の重要項目 | 基礎知識

経営ガイドラインとして、サイバー攻撃への対策を紹介します。経営者が知っておくべき3原則やサイバーセキュリティ対策を実施するための重要10項目を解説。おすすめのサイバーセキュリティサービスも紹介しています。
Large

本記事で掲載しているサイバーセキュリティサービスやサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
WAFの資料を無料DL

サイバーセキュリティとは

サイバーセキュリティとは、コンピューターへの不正侵入を仕掛けるサイバー攻撃を防御するものです。サイバーセキュリティを行うことによって、コンピューターへの不正侵入による機密情報の漏えいや、データの改ざんや破壊を防ぐことができます。

ここでは、会社を経営者自身で守るために必要な、サイバーセキュリティについての基礎知識と3大原則を紹介します。また、記事の後半ではおすすめのサイバーセキュリティサービスを紹介しています。

サイバーセキュリティを経営課題とする必要性

サイバーセキュリティは経営者自身が向き合わなくてはいけない問題です。

その理由は、会社の機密情報や顧客情報は会社にとって命と同類のものであり、もしそれがサイバー攻撃によって改ざんされたり、消失させられたりしてしまえば、経営危機に発展する可能性があるからです。

そのため、会社としてサイバーセキュリティを経営課題とする必要性があり、サイバーセキュリティ対策を行わなくてはいけません。

経営者が知っておくべき「3原則」とは

サイバーセキュリティについて、経営者が認識する必要がある「3原則」を、経済産業省が以下のように提唱しています。

  • 経営者自身が率先してサイバーセキュリティリスクを認識し、対策を進めることが必要
  • 自社だけでなく関連企業、ビジネスパートナーを含めた関連企業すべてでセキュリティ対策が必要
  • 顧客や株主の信頼感を高めるために、常にサイバーセキュリティリスクの対策や情報開示をしておくなどの適切なコミュニケーションが必要

以上のように、経営者がサイバーセキュリティに対しリーダーシップを持って取り組み、企業全体でリスクヘッジをしていることがポイントです。

しかし、自社の情報を持っている関連会社やパートナーがサイバー攻撃を受けたことによる、二次被害を受けることも考えられるため、関連企業全体で対策をしていかなければ意味がありません。

サイバーセキュリティ対策を実施するための重要10項目

ここでは、経済産業省がガイドラインで明示する重要な10項目について説明します。

1. サイバーセキュリティ対応方針の策定

1つ目は、サイバーセキュリティが経営リスクとして重要な位置付けにあるということです。

これは、サイバーセキュリティリスクは会社の経営を左右する可能性が大いにあり、「経営者を筆頭に組織全体で取り組めているか?」ということです。

サイバー攻撃は、日々新しい手法で仕掛けて来るため、一度対策をして終わりではなく、常に対応し続けることが重要です。

2. リスク管理体制の構築

2つ目は、適切なリスク管理体制の構築ができているか?ということです。

サイバーセキュリティ対策を行うためには、経営者とセキュリティ担当者をつなぐ適切な管理体制の構築が必要です。そこで関係者の責任の所在を明確にし、組織内のリスク管理体制と整合をとることが重要です。

3.リスクの把握、目標と対応計画策定

3つ目は、サイバー攻撃が行われることによるリスクを把握しているのか?また、サイバーセキュリティリスク対策の目標を設定し、 目標を達成するための体制をセキュリティポリシーに記載しているのか?ということです。

リスクに応じた対策の目標と計画を策定することで、サイバー保険の活用や守るべき資産が明確になります。

4. サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示

4つ目は、現状を改善するために計画を実施し、それに合わせてPDCAフレームワークを行っているか?ということです。

そこで行われる監査の結果を、定期的に経営者にステークホルダーへの報告と現状の改善を行うことで信頼性を高めることにつながります。信頼関係を構築するためにも、対策状況について、適切な開示を行いましょう。

5. 関連企業やビジネスパートナーを含めた対策の実施および状況把握

5つ目は、自社だけに限らず、関連企業やビジネスパートナーも適切なサイバーセキュリティ対策が行われているか?ということです。

もし自社のみしか対策をしていなければ、対策をしていない関連企業が狙われ、そこから自社の情報を抜かれてしまう可能性があります。そのため、事前に関連企業の実施状況を把握しなくてはいけません。

6. サイバーセキュリティ対策のための資源(予算、人材など)確保

6つ目は、サイバーセキュリティ対策を実施するための予算を確保してあるか?ということです。

社内でできる人がいなければ、新しく人材を確保するか、もしくはアウトソーシングしなくてはいけません。どちらを選択するにしても、必ずコストはかかってしまうため、それらの資源を確保するための予算が必要になります。

7. ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保

7つ目は、自社で行う部分とアウトソーシングする部分を分けられているか?ということです。

サイバーセキュリティ対策を効果的なものにするためには、リスクの程度に合わせて対策を行う必要があります。そのため、自社で管理できる人材がいたとしても、より高度な対応が必要になった場合に委託できる外注先を見つけておくことが重要です。

8. 情報共有活動への参加を通じた攻撃情報を入手するための環境整備

8つ目は、現在大きな問題となっているサイバー攻撃の情報共有をする環境整備がされているか?ということです。

次から次へと新しい手法が誕生するサイバー攻撃は、常に新しい情報が共有されていることがベストです。そこで社会全体で最新のサイバー攻撃に対応した対策が可能となるように、情報を共有・入手できる環境が必要です。

9. 緊急時の対応体制の整備、定期的かつ実践的な演習の実施

9つ目は、もし万が一サイバー攻撃を受けた場合に適切な対処ができるか?ということです。

いくら対策を行っていても、サイバー攻撃を受けてしまう可能性はあります。その際に、被害拡大防止を図るために適切な初動対応が求められます。そこで、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアルの整備と実演の準備が必要です。

10. 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備

最後は、サイバー攻撃による被害があった場合に、開示すべき情報を把握し、経営者による説明の準備が必要であるということです。

サイバー攻撃を受けてしまった場合には、外部に対して迅速な対応を行う必要があるため、事前に被害の発覚後の通知先を把握しておかなければいけません。組織の内外への説明を経営者ができる体制の整備が必要です。

サイバーセキュリティーサービス

DARKTRCE Enterprise Immune System(ダークトレース)

  • ベイズ推論・機械学習を用いた通信分析
  • 時系列で通信状況を分析可能にするThreat Visualizer
  • オフィスだけでなく工場などのIoT/M2Mセキュリティにも利用可能

DARKTRCE Enterprise Immune Systemは、ベイズ推論・機械学習という高度な数学モデルを用いた通信分析を活用して、正常な通信パターンと通常とは異なる通信パターンを自己学習するシステムです。そのため、わずかな変化も検知し、不適切な行為など、脅威となる可能性があるイベントを検出します。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
DARKTRCE Enterprise Immune Systemの資料を無料DL

攻撃遮断くん

  • 導入社数導入サイト数No.1
  • クラウド型WAFで唯一の定額プラン
  • 自社開発だからできる万全のサポート体制

攻撃遮断くんは、導入社数導入サイト数No.1のWebセキュリティサービスです。しかも、自社開発だからこそできる万全のサポート体制を実現し、24時間365日サポートを行います。また、個別カスタマイズにも柔軟に対応しているため、自社に適切な形での導入が可能です。

資料請求後にサービス提供会社、弊社よりご案内を差し上げる場合があります。
利用規約とご案内の連絡に同意の上
攻撃遮断くんの資料を無料DL

攻撃遮断くんについては以下の記事で詳しく解説しています。

攻撃遮断くんの使い方・仕組み・導入事例 | 注目クラウドWAFの機能を解説 | ボクシルマガジン
国内導入実績ナンバーワンを誇るサイバーセキュリティクラウドのクラウドWAF「攻撃遮断くん」について、その仕組みや使...

NORSE

  • セキュリティ対策関連製品・サービスを提供する米国企業
  • アプリケーションを再現する800万台以上のセンサーからの情報
  • サイバー攻撃可視化ツール

NORSEは、セキュリティ対策関連の製品やサービスを提供する米国企業が開発したサイバー攻撃可視化ツールです。これはNORSEが800万台以上のセンサーからの情報を取集し、共有をしているものです。このツールを駆使することで、攻撃者から受ける攻撃の情報を知ることができます。

サイバーセキュリティサービス

  • 高いレベルのセキュリティを実現
  • セキュリティ運用を評価
  • 13年連続でガートナーによるマジック・クアドラントのリーダーに選出

サイバーセキュリティサービスは、業界最先端の脅威インテリジェンス、高度な監視、インシデントレスポンスにより、あらゆるサイバー攻撃に対応しています。こちらのサービスでは、検出から対応までの時間を短縮しすることで運用コストを削減し、従来の脅威のみに限らず、新種の脅威をも未然に防ぎます。

サイバーセキュリティ対策を経営の重要課題に

会社の内部情報は、外に漏らしてはいけない機密情報がたくさんあります。それをサイバー攻撃によって、やられるがままに情報漏えいをしてしまっては、会社への信頼は無くなります。

そのため、もし現状サイバーセキュリティに対して経営者がリーダーシップを持って取り組んでいないのであれば、これを機会にサイバーセキュリティ対策を経営の重要課題にしてほしいと思います。

ここでは、オススメのサイバーセキュリティーサービスも紹介しているので、ぜひすぐにでもサイバーセキュリティ対策を始めましょう。

ボクシルとは

ボクシルとは、「コスト削減」「売上向上」につながる法人向けクラウドサービスを中心に、さまざまなサービスを掲載する日本最大級の法人向けサービス口コミ・比較サイトです。

「何かサービスを導入したいけど、どんなサービスがあるのかわからない。」
「同じようなサービスがあり、どのサービスが優れているのかわからない。」

そんな悩みを解消するのがボクシルです。

また、マーケティングに問題を抱えている法人企業は、ボクシルを活用することで効率的に見込み顧客を獲得することができます!また、リード獲得支援だけでなくタイアップ記事広告の作成などさまざまなニーズにお答えします。

ボクシルボクシルマガジンの2軸を利用することで、掲載企業はリードジェネレーションやリードナーチャリングにおける手間を一挙に解消し、低コスト高効率最小限のリスクでリード獲得ができるようになります。ぜひご登録ください。

Article whitepaper bgS3 0
WAF
選び方ガイド
資料請求後に下記のサービス提供会社、弊社よりご案内を差し上げる場合があります。
株式会社オロ
利用規約とご案内の連絡に同意の上
Article like finger
この記事が良かったら、いいね!をしてください!最新情報をお届けします!
新着情報やお得な情報をメールでお届けします!
{{ message }}
ご登録ありがとうございました!
御社のサービスを
ボクシルに掲載しませんか?
月間100万PV
掲載社数1,000
商談発生10,000件以上
あなたにオススメの記事