サイバーセキュリティで経営者が絶対に押さえるべき3大原則と10の重要項目 | 基礎知識
本記事で掲載しているサイバーセキュリティサービスやサイバーセキュリティに役立つWAFの資料をこちらからご覧になれます。ぜひツール選定の参考にしてみてください。
サイバーセキュリティとは
サイバーセキュリティとは、コンピューターへの不正侵入を仕掛けるサイバー攻撃を防御するものです。サイバーセキュリティを行うことによって、コンピューターへの不正侵入による機密情報の漏えいや、データの改ざんや破壊を防げます。
会社を経営者自身で守るために必要な、サイバーセキュリティについての基礎知識と3大原則を紹介します。また、記事の後半ではおすすめのサイバーセキュリティサービスを紹介しています。
目次を閉じる
- サイバーセキュリティとは
- サイバーセキュリティを経営課題とする必要性
- 経営者が知っておくべき「3原則」とは
- サイバーセキュリティ対策を実施するための重要10項目
- 1. サイバーセキュリティ対応方針の策定
- 2. リスク管理体制の構築
- 3.リスクの把握、目標と対応計画策定
- 4. サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
- 5. 関連企業やビジネスパートナーを含めた対策の実施および状況把握
- 6. サイバーセキュリティ対策のための資源(予算、人材など)確保
- 7. ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
- 8. 情報共有活動への参加を通じた攻撃情報を入手するための環境整備
- 9. 緊急時の対応体制の整備、定期的かつ実践的な演習の実施
- 10. 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
- サイバーセキュリティーサービス
- DARKTRACE Enterprise Immune System
- 攻撃遮断くん
- NORSE
- サイバーセキュリティ対策を経営の重要課題に
- BOXILとは
サイバーセキュリティを経営課題とする必要性
サイバーセキュリティは経営者自身が向き合わなくてはいけない問題です。
その理由は、会社の機密情報や顧客情報は会社にとって命と同類のものであり、もしそれがサイバー攻撃によって改ざんされたり、消失させられたりしてしまえば、経営危機に発展する可能性があるからです。
そのため、会社としてサイバーセキュリティを経営課題とする必要性があり、サイバーセキュリティ対策を行わなくてはいけません。
経営者が知っておくべき「3原則」とは
サイバーセキュリティについて、経営者が認識する必要がある「3原則」を、経済産業省が以下のように提唱しています。
- 経営者自身が率先してサイバーセキュリティリスクを認識し、対策を進めることが必要
- 自社だけでなく関連企業、ビジネスパートナーを含めた関連企業すべてでセキュリティ対策が必要
- 顧客や株主の信頼感を高めるために、常にサイバーセキュリティリスクの対策や情報開示をしておくなどの適切なコミュニケーションが必要
以上のように、経営者がサイバーセキュリティに対しリーダーシップを持って取り組み、企業全体でリスクヘッジをしていることがポイントです。
しかし、自社の情報を持っている関連会社やパートナーがサイバー攻撃を受けたことによる、二次被害を受けることも考えられるため、関連企業全体で対策をしていかなければ意味がありません。
サイバーセキュリティ対策を実施するための重要10項目
経済産業省がガイドラインで明示する重要な10項目について説明します。
1. サイバーセキュリティ対応方針の策定
1つ目は、サイバーセキュリティが経営リスクとして重要な位置付けにあるということです。
これは、サイバーセキュリティリスクは会社の経営を左右する可能性がおおいにあり、「経営者を筆頭に組織全体で取り組めているか?」ということです。
サイバー攻撃は、日々新しい手法で仕掛けて来るため、一度対策をして終わりではなく、常に対応し続けることが重要です。
2. リスク管理体制の構築
2つ目は、適切なリスク管理体制の構築ができているか?ということです。
サイバーセキュリティ対策を行うためには、経営者とセキュリティ担当者をつなぐ適切な管理体制の構築が必要です。そこで関係者の責任の所在を明確にし、組織内のリスク管理体制と整合をとることが重要です。
3.リスクの把握、目標と対応計画策定
3つ目は、サイバー攻撃が行われることによるリスクを把握しているのか?また、サイバーセキュリティリスク対策の目標を設定し、 目標を達成するための体制をセキュリティポリシーに記載しているのか?ということです。
リスクに応じた対策の目標と計画を策定することで、サイバー保険の活用や守るべき資産が明確になります。
4. サイバーセキュリティ対策フレームワーク構築(PDCA)と対策の開示
4つ目は、現状を改善するために計画を実施し、それに合わせてPDCAフレームワークを行っているか?ということです。
そこで行われる監査の結果を、定期的に経営者にステークホルダーへの報告と現状の改善を行うことで信頼性を高めることにつながります。信頼関係を構築するためにも、対策状況について、適切な開示を行いましょう。
5. 関連企業やビジネスパートナーを含めた対策の実施および状況把握
5つ目は、自社だけに限らず、関連企業やビジネスパートナーも適切なサイバーセキュリティ対策が行われているか?ということです。
もし自社のみしか対策をしていなければ、対策をしていない関連企業が狙われ、そこから自社の情報を抜かれてしまう可能性があります。そのため、事前に関連企業の実施状況を把握しなくてはいけません。
6. サイバーセキュリティ対策のための資源(予算、人材など)確保
6つ目は、サイバーセキュリティ対策を実施するための予算を確保してあるか?ということです。
社内でできる人がいなければ、新しく人材を確保するか、もしくはアウトソーシングしなくてはいけません。どちらを選択するにしても、必ずコストはかかってしまうため、それらの資源を確保するための予算が必要になります。
7. ITシステム管理の外部委託範囲の特定と当該委託先のサイバーセキュリティ確保
7つ目は、自社で行う部分とアウトソーシングする部分を分けられているか?ということです。
サイバーセキュリティ対策を効果的なものにするためには、リスクの程度に合わせて対策を行う必要があります。そのため、自社で管理できる人材がいたとしても、より高度な対応が必要になった場合に委託できる外注先を見つけておくことが重要です。
8. 情報共有活動への参加を通じた攻撃情報を入手するための環境整備
8つ目は、現在大きな問題となっているサイバー攻撃の情報共有をする環境整備がされているか?ということです。
次から次へと新しい手法が誕生するサイバー攻撃は、常に新しい情報が共有されていることがベストです。そこで社会全体で最新のサイバー攻撃に対応した対策が可能となるように、情報を共有・入手できる環境が必要です。
9. 緊急時の対応体制の整備、定期的かつ実践的な演習の実施
9つ目は、万が一サイバー攻撃を受けた場合に適切な対処ができるか?ということです。
いくら対策を行っていても、サイバー攻撃を受けてしまう可能性はあります。その際に、被害拡大防止を図るために適切な初動対応が求められます。そこで、迅速に影響範囲や損害を特定し、ITシステムを正常化する手順を含む初動対応マニュアルの整備と実演の準備が必要です。
10. 被害発覚後の通知先や開示が必要な情報の把握、経営者による説明のための準備
最後は、サイバー攻撃による被害があった場合に、開示すべき情報を把握し、経営者による説明の準備が必要であるということです。
サイバー攻撃を受けてしまった場合には、外部に対して迅速な対応を行う必要があるため、事前に被害の発覚後の通知先を把握しておかなければいけません。組織の内外への説明を経営者ができる体制の整備が必要です。
サイバーセキュリティーサービス
DARKTRACE Enterprise Immune System - 株式会社サムライズ
- ベイズ推論・機械学習を用いた通信分析
- 時系列で通信状況を分析可能にするThreat Visualizer
- オフィスだけでなく工場などのIoT/M2Mセキュリティにも利用可能
DARKTRCE Enterprise Immune Systemは、ベイズ推論・機械学習という高度な数学モデルを用いた通信分析を活用して、正常な通信パターンと通常とは異なる通信パターンを自己学習するシステムです。そのため、わずかな変化も検知し、不適切な行為など、脅威となる可能性があるイベントを検出します。
攻撃遮断くん - 株式会社サイバーセキュリティクラウド
- 導入社数導入サイト数No.1
- クラウド型WAFで唯一の定額プラン
- 自社開発だからできる万全のサポート体制
攻撃遮断くんは、導入社数導入サイト数No.1のWebセキュリティサービスです。しかも、自社開発だからこそできる万全のサポート体制を実現し、24時間365日サポートを行います。また、個別カスタマイズにも柔軟に対応しているため、自社に適切な形での導入が可能です。
攻撃遮断くんについては以下の記事で詳しく解説しています。
NORSE
- セキュリティ対策関連製品・サービスを提供する米国企業
- アプリケーションを再現する800万台以上のセンサーからの情報
- サイバー攻撃可視化ツール
NORSEは、セキュリティ対策関連の製品やサービスを提供する米国企業が開発したサイバー攻撃可視化ツールです。これはNORSEが800万台以上のセンサーからの情報を取集し、共有をしているものです。このツールを駆使することで、攻撃者から受ける攻撃の情報を知ることができます。
サイバーセキュリティ対策を経営の重要課題に
会社の内部情報は、外に漏らしてはいけない機密情報がたくさんあります。それをサイバー攻撃によって、やられるがままに情報漏えいをしてしまっては、会社への信頼は無くなります。
そのため、もし現状サイバーセキュリティに対して経営者がリーダーシップを持って取り組んでいないのであれば、これを機会にサイバーセキュリティ対策を経営の重要課題にしてほしいと思います。
オススメのサイバーセキュリティーサービスも紹介しているので、ぜひすぐにでもサイバーセキュリティ対策を始めましょう。
BOXILとは
BOXIL(ボクシル)は企業のDXを支援する法人向けプラットフォームです。SaaS比較サイト「BOXIL SaaS」、ビジネスメディア「BOXIL Magazine」、YouTubeチャンネル「BOXIL CHANNEL」、Q&Aサイト「BOXIL SaaS質問箱」を通じて、ビジネスに役立つ情報を発信しています。
BOXIL会員(無料)になると次の特典が受け取れます。
- BOXIL Magazineの会員限定記事が読み放題!
- 「SaaS業界レポート」や「選び方ガイド」がダウンロードできる!
- 約800種類のビジネステンプレートが自由に使える!
BOXIL SaaSでは、SaaSやクラウドサービスの口コミを募集しています。あなたの体験が、サービス品質向上や、これから導入検討する企業の参考情報として役立ちます。
BOXIL SaaS質問箱は、SaaS選定や業務課題に関する質問に、SaaSベンダーやITコンサルタントなどの専門家が回答するQ&Aサイトです。質問はすべて匿名、完全無料で利用いただけます。
BOXIL SaaSへ掲載しませんか?
- リード獲得に強い法人向けSaaS比較・検索サイトNo.1※
- リードの従量課金で、安定的に新規顧客との接点を提供
- 累計1,200社以上の掲載実績があり、初めての比較サイト掲載でも安心
※ 日本マーケティングリサーチ機構調べ、調査概要:2021年5月期 ブランドのWEB比較印象調査