セキュリティ脅威を招く落とし穴（第5回）経営者が認識すべきセキュリティ3原則

公開日：2018.01.10

ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録（無料）してログインする必要があります。

　企業規模の大小を問わず、問題が生じたときに経営者の責任が問われるのは世の常だ。例えば、自社製品に瑕疵（かし）が見つかった場合、直ちに製品を回収し、原因を究明するとともに、経営者は顧客や取引先、株主に対して説明責任を果たさなければならない。

　それでは、情報セキュリティに関わる事故の場合はどうだろうか。外部からのサイバー攻撃を受けて、社内で保管していた顧客情報が流出する。あるいは製品の設計・製造・販売情報などを管理するサーバーがシステム停止を余儀なくされる。そういった事態になれば、企業活動そのものが大きな影響を受ける。当然、ステークホルダーに対して説明責任が生じる。

　企業のパソコンやサーバーのデータに暗号をかけて使えなくし、復号のために身代金を要求するウイルス、ランサムウエアが猛威を振るったのは記憶に新しい。他にも特定の企業を狙った標的型攻撃など、犯罪者の手口は巧妙化しており、いつ被害者になっても不思議ではない。情報セキュリティ事件に巻き込まれると厄介なのは、サイバー攻撃の被害者になるだけでなく、加害者になる恐れがあることだ。

経済的損失だけでは済まない事態に…

　自社のパソコンやサーバーを踏み台に取引先が攻撃された場合、被害者ではなく加害者として非難される。被害の程度によっては、取引先から金銭的な損害賠償を求められる。売り上げにも響き、経済的な損害は避けられない。

　また、取引先の設計データのような機密情報が流出したり、顧客の役職、氏名など個人情報が漏洩したりした場合、重要な情報を守れなかった企業として不名誉な烙印（らくいん）が押される。他の企業を含めた取引停止や、社会的な信用失墜も免れない。

　自社は大丈夫だろうと軽く見ている経営者は、まず認識を改める必要がある。情報セキュリティの取り組みは経営そのものであり、必要な対策を講じることは経営者の責務だ。対策を怠れば事業継続に赤信号がともりかねない。情報セキュリティ対策の重要性を再認識してほしい。

対策には経営者のリーダーシップが不可欠

　経済産業省と独立行政法人情報処理推進機構（IPA）が発行している「サイバーセキュリティ経営ガイドラインVer1.1」では、情報セキュリティ対策は経営者の判断が必要とした上で、経営者が認識すべき「3原則」を示している。

＜サイバーセキュリティ経営の3原則＞
（1）経営者は、IT 活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
（2）自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
（3）平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
（※出典：同ガイドラインP5）

　ポイントは自社だけで情報セキュリティ対策が完結しないことだ。日ごろから情報セキュリティリスクへの対応などについて、業務委託先や取引先とコミュニケーションを取っておく。平時から信頼性を高め、情報セキュリティ事故発生時には、関係者と適切かつ迅速にコミュニケーションを図れば、万一のときにも事故の影響を最小限にできる。信頼関係ができていれば、損害賠償などの大ごとにならずに済むかもしれない。

　経営者はこれら「3原則」への理解を進め、情報セキュリティ投資について判断する。経営者自身がリーダーシップを取って、情報セキュリティ対策を組織全体の取り組みとする。情報セキュリティ対策はネットワークやサーバー、電源など、多様な観点から施さなければならない。具体的な対策については、責任者を立てて業務として推進するべきだ。

　情報セキュリティ事故が万一起きたとき、自社のみならず、顧客・取引先への被害をいかに小さくするための対策を講じられるかどうか。まさに経営者の判断によるところが大きい。

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

貴社の課題を解決するNTT西日本のサービスはこちら

執筆＝山崎俊明

【MT】

あわせて読みたい記事

最新情報セキュリティ対策総覧（第2回）
データの分散保管でビジネス情報を守る
運用管理・監視データ保護・バックアップ
2017.09.20
最新情報セキュリティ対策総覧（第7回）
“偶発的な障害”への情報セキュリティ対策
セキュリティ機器データ保護・バックアップ
2018.01.10

「リスクマネジメント」人気記事ランキング

「リスクマネジメント」カテゴリーから探す

連載バックナンバー

セキュリティ脅威を招く落とし穴

中小企業は必読！本当に必要なBCP対策
近年多発する地震や台風などの自然災害や新型コロナウイルスなどの感染症は、ビジネスに甚大な影響をもたらしかねません。企業にとってBCP（Business Continuity Plan：事業継続計画）を策定し、危機管理能力を高めて早期に事業継続や復旧を図る体制が必要です。BCP対策の実例や策定のポイントを解説します。
ダウンロード
ランサムウェアの被害を防ぐバックアップ6つのポイント
企業内のネットワークに侵入してデータを暗号化し、その解除と引き換えに金銭を要求する「ランサムウェア」は企業にとっての大きな脅威になっています。。ここでは「ランサムウェア対策」という観点から、バックアップを行うときに気をつけたい6つのポイントを解説します。
ダウンロード
企業の情報セキュリティリスク認知調査2023
テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。
ダウンロード