先日、セキュリティベンダーであるシマンテック株式会社によるセキュリティセミナーが開催されました。その中で、経済産業省が策定している「サイバーセキュリティ経営ガイドライン」についてのテーマがあり、今回は、その中から「経営者が認識すべき3原則」について、ご紹介します。

---

【経営者が認識すべき3原則】

(1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要

・サイバー攻撃は避けられないリスク、経営戦略としてのセキュリティ投資が必要
・セキュリティ事件事故が発生した際、迅速かつ適切な対応が会社の命運を分ける
・セキュリティリスクを経営リスクの一つとして位置づけ、適切な経営資源の配分を行う

(2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要

・パートナー企業やシステム管理委託先等が、脆弱だった場合、提供した重要情報が流出する恐れがある
・自社だけではなく、パートナーやシステム管理委託先等含めたセキュリティ対策が必要

(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

・万一被害が発生した場合も、関係者と平時からコミュニケーションが出来ていれば関係者の不信感の高まりが抑えられる
・平時からセキュリティ対策を実施していることを明らかにするなどのコミュニケーションを積極的に行う

---

セミナーの中でも話題に挙がりましたが、残念ながら、日本ではセキュリティにお金を掛ける意識はまだまだ低く、後回しや、なるべく低予算で対応することが多いようです。そのため、実際に事件・事故が発生した際に、対応が困難となるケースが多く、問題となっています。

上記、経営者が認識すべき3原則については、経済産業省から発行されている「サイバーセキュリティ経営ガイドライン Ver2.0」に詳しく解説なども記載されており、経済産業省のWebサイト（こちら）よりダウンロード出来ます。

また、同サイトに掲載されております「付録Cインシデント発生時に組織内で整理しておくべき事項（Excel形式）」も、緊急時の情報整理に役立ちますので、管理者の方は、是非ご確認下さい。

情報セキュリティ管理者：J