最近、「サイバーセキュリティ経営ガイドライン」と言う言葉を良く聞くので、ここで解説しておきたい。
このガイドラインは昨年12月28日、経済産業省と情報処理推進機構が、『大企業及び中小企業(小規模事業者除く)のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため』として発表したものである。サイバーセキュリティに関する各種標準或いはガイドラインは数多く発表されているが、本ガイドラインの特徴は、他の標準等の多くがセキュリティ推進に関して組織全体で網羅的に記述されているのに対し、本ガイドラインは「経営」的視点に重点を置いて記述されている点にある。
内容的には、①サイバーセキュリティは経営課題であると言う視点から、『経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要』。②最近は大企業のみならず、その取引先からの情報漏洩が数多く見られる事から、『自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、 IT システム管理の委託先を含めたセキュリティ対策が必要』。③ステークホルダーの理解を得、また圧倒的な攻撃側優位性と対抗するために、『平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要』とうたっている。
このガイドラインは分量的にさほど多くもなく、読者も一読される事をお勧めする。
経済産業省関連ホームページ
http://www.meti.go.jp/press/2015/12/20151228002/20151228002.html
筆者紹介
岸田 明(きしだ あきら)
KMSコンサルティング代表。
大手IT企業や参議院事務局など、第一線でサイバーセキュリティ対策に携わってきたこの道のエキスパート。 2016年3月よりキューアンドエーワークス株式会社の顧問に就任。