最新セキュリティマネジメント(第4回)セキュリティリスク管理体制の構築

リスクマネジメント 働き方改革

公開日:2021.09.21

  • PDF PDF
  • ボタンをクリックすることで、Myクリップ一覧ページに追加・削除できます。追加した記事は、「Myクリップ」メニューからいつでも読むことができます。なお、ご利用にはBiz Clipに会員登録(無料)してログインする必要があります。

 経済産業省が策定した「セキュリティ経営ガイドライン」で、経営者が社内に指示すべきポイントとして示された「重要10項目」。今回は2番目の項目となる「サイバーセキュリティリスク管理体制の構築」について解説する。

管理体制構築の進め方

 経済産業省と独立行政法人情報処理推進機構(IPA)が共同で策定した「サイバーセキュリティ経営ガイドライン Ver2.0」は、企業のIT活用を推進する上で経営者が認識すべきサイバーセキュリティに関する原則や、経営者がリーダーシップを持って取り組むべき項目をまとめたものである。

 本ガイドラインでは、経営者が認識すべき3原則として以下の3つを挙げている。

・サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めること
・ビジネスパートナーや委託先も含めたサプライチェーンに対する対策が必要
・サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

 ただ、多忙を極める経営者がセキュリティ対策を単独で行うことは難しい。そこで上記の原則に基づき、セキュリティ対策の実務を担当するCISO(最高情報セキュリティ責任者)などの幹部に指示を出すことになる。前回は指示すべきポイントとなる「重要10項目」の最初に挙げられた項目「サイバーセキュリティリスクの認識、組織全体での対応方針の策定」を紹介した。今回は2番目の項目「サイバーセキュリティリスク管理体制の構築」について、次回(第5回)は「人材確保」にスポットを当てて解説する。

すべての部署が「当事者」に

 管理体制の構築と聞いて、「うちの会社は情シス(情報システム部)がしっかり担当しているから安心」と考えてしまう経営者は少なくない。これは、ITに精通したスタッフで構成された情シスへの信頼度が高いことに加え、日本企業がITに関する業務を情シスや外部ベンダーに任せるケースが多いことも理由と思われる。しかし、本ガイドラインではサイバーセキュリティリスク管理を「企業全体で取り組むべきもの」として捉え、情シス以外の部署も当事者として関わる必要性を示している。具体的には管理部門のリスクマネジメント関連部署、工場・店舗などの各事業部門、経営企画部門など社内の多くの部署が含まれる。

 企業が製品・サービスを展開する際には、企画から提供に至る各段階でサイバーセキュリティ対策を講じる必要がある。また、サプライチェーン全体を考えた場合は海外拠点、グループ会社、取引先など、組織を超えた対策が重要だ。さらに、インシデント発生時には法務、広報とも連携した対応が求められる。つまり、セキュリティ対策は企業全体で取り組むものであり、「まったく無関係の部署は存在しない」という表現も過言ではないだろう。

「セキュリティ統括機能」の役割…

続きを読むにはログインが必要です

\ かんたん入力で登録完了 /

会員登録3つのメリット!!

  • 最新記事をメールでお知らせ!
  • すべての記事を最後まで読める!
  • ビジネステンプレートを無料ダウンロード!

執筆=林 達哉

【TP】

「リスクマネジメント」人気記事ランキング

連載バックナンバー

最新セキュリティマネジメント

無料!おすすめのダウンロード資料

  • 企業の情報セキュリティリスク認知調査2023

    企業の情報セキュリティリスク認知調査2023

    テクノロジーの進化によって、生産性の向上や多様な働き方の実現などの恩恵がもたらされる一方、サイバー攻撃も多様化・複雑化の一途をたどっています。こうした中、攻撃手法などの情報セキュリティリスクをどれくらい認知しているのだろうか。その最新動向について調査しました。

  • 情報セキュリティ対策意識調査2022

    情報セキュリティ対策意識調査2022

    DX推進が企業にとって成長のドライバーとなる中、サイバー攻撃も多様化・複雑化の一途をたどっています。AIやRPAなど各種のICTテクノロジーや、社内外のコミュニケーションを円滑化するクラウドストレージ活用が進む現在、企業における情報セキュリティ対策はどうなっているのだろうか。対策度合いや、脅威に感じるもの、対策をするうえでの課題などの最新動向について調査を行いました。

  • その対策は効果ナシ!セキュリティの常識を検証する

    その対策は効果ナシ!セキュリティの常識を検証する

    サイバー攻撃の被害が深刻化し、従来のセキュリティの常識が 崩れ始めています。本当に必要な対策とは何か?情報セキュリティ大学院大学の大久保隆夫教授にお聞きしました。

オンラインセミナー動画

  • 新着記事

配信期間

配信期間:2023年9月15日(金)~2024年8月30日(金)

セキュリティ関連

【経済産業省サイバーセキュリティ課登壇】 サイバー攻撃に対して中小企業が取るべき対策とは

  • 新着記事

配信期間

2023年5月31日(水)~2023年12月26日(火)

法改正関連

税理士登壇!インボイス制度の解説