皆さんこんにちは！！

仮想通貨の取引など情報通信技術の発達が目覚ましい今日この頃はサイバーセキュリティ対策の重要性はこれまでにないほどに高まっています。

という事で今回は、経済産業省が発表している「サイバーセキュリティ経営ガイドライン」について見ていきたいと思います。

それではいってみよー！

1.　サイバーセキュリティ対策経営ガイドラインとは？

それではまず始めに、このサイバーセキュリティ経営ガイドラインとはいったいどのようなものなのかについて見ていきましょう。

サイバーセキュリティ経営ガイドラインは２０１５年１２月に初めて策定され、その後２０１７年の１１月に改訂がありました。

このガイドライン策定の趣旨は、様々なビジネスの現場においてＩＴの利活用は企業の収益性向上に不可欠なものとなっている一方で、企業が保有する顧客の個人情報や重要な技術情報等を狙うサイバー攻撃は増加傾向にあり、その手口は巧妙化しています。

そこで、企業戦略として、ＩＴに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断を効果的に行えるように、経済産業省が中心となりガイドラインが策定されることになりました。

２.　サイバーセキュリティ経営の三原則

(1)　 セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投 資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスク をどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリー ダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ご されてしまう。

 

(2) 　子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提 供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。 このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー 等を含めたセキュリティ対策が必要である。

 

(3) ステークホルダー（顧客や株主等）の信頼感を高めるとともに、サイバー攻撃を 受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開 示など、関係者との適切なコミュニケーションが必要である。

引用：経済産業省ＨＰ

３.　責任者に指示すべき１０項目

指示１：サイバーセキュリティリスクへの対応について、組織の内外に示すための方 針（セキュリティポリシー）を策定すること。
 
指示２：方針に基づく対応策を実装できるよう、経営者とセキュリティ担当者、両者 をつなぐ仲介者としての CISO 等からなる適切な管理体制を構築すること。 その中で、責任を明確化すること。
 
指示３：経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出す とともに、そのリスクへの対処に向けた計画を策定すること。
 
指示４：計画が確実に実施され、改善が図られるよう、PDCAを実施すること。また、 対策状況については、CISO 等が定期的に経営者に対して報告をするととも に、ステークホルダーからの信頼性を高めるべく適切に開示すること。
 
指示５：系列企業やサプライチェーンのビジネスパートナーを含め、自社同様に PDCAの運用を含むサイバーセキュリティ対策を行わせること。

 

 指示６：PDCAの運用を含むサイバーセキュリティ対策の着実な実施に備え、必要な 予算の確保や人材育成など資源の確保について検討すること。
 
指示７：IT システムの運用について、自社の技術力や効率性などの観点から自組織で 対応する部分と他組織に委託する部分の適切な切り分けをすること。また、 他組織に委託する場合においても、委託先への攻撃を想定したサイバーセキ ュリティの確保を確認すること。
 
指示８：攻撃側のレベルは常に向上することから、情報共有活動に参加し、最新の状 況を自社の対策に反映すること。また、可能な限り、自社への攻撃情報を公 的な情報共有活動に提供するなどにより、同様の被害が社会全体に広がるこ との未然防止に貢献すること。
 
指示９：サイバー攻撃を受けた場合、迅速な初動対応により被害拡大を防ぐため、 CSIRT（サイバー攻撃による情報漏えいや障害など、コンピュータセキュリティにかかる インシデントに対処するための組織）の整備や、初動対応マニュアルの策定など 緊急時の対応体制を整備すること。また、定期的かつ実践的な演習を実施す ること。
 
指示１０：サイバー攻撃を受けた場合に備え、被害発覚後の通知先や開示が必要な情 報項目の整理をするとともに、組織の内外に対し、経営者がスムーズに必要 な説明ができるよう準備しておくこと。 

引用：経済産業省ＨＰ

４.　筆者談

コインチェックの仮想通貨不正流出問題にとどまらず、現代は世界中で莫大な数のサイバー攻撃が行われている。それも毎秒のように。

しかしそんな現状とは裏腹にビジネスシーンでは消費者に関するビッグデータの活用はもはや必要不可欠なものになっている。

これはとても危うい状況だ。

もちろん筆者はビッグデータの活用をやめろなどと主張するつもりはないし、顧客データの活用による利便性を享受していきたいと思っている。

ただ、筆者が主張したいことというのは消費者の個人情報に関する意識を変えていかなくてはいけないという事だ。

上記されているように企業側がサイバーセキュリティを向上させて顧客の個人情報を保護していく事は当然の義務であるが、攻撃側の能力は絶えず向上を続けていく。

それ故、たとえどれだけサイバーセキュリティに企業が気を使っていたとしても個人情報の流出は起きうることである。もはや個人情報は流出可能性が高いことを前提において対策を取っておかなくてはいけない。

筆者たち一般の消費者もである。

そこで筆者は考える、ヒト・カネ・モノが高速に移動していく現代社会において一番のサイバーセキュリティは、企業に一任した放任主義的なものではなく、様々なリスクを考え自ら学び続ける賢い消費者に求められるものなのかもしれないと。

”いかに知識を身につけたとしても全知全能になることなどはできないが、勉強しない人々とは天地ほどの開きができる。”　ｂｙ　プラトン

ここまでお読みくださりありがとうございました！！

よろしければTwitterフォロー・拡散・読者登録お願いします！！