サイバーセキュリティ経営ガイドラインを活用しましょう。

Share

2016年11月22日、GSX との共同セミナーを実施しました。

現場の事情

経済産業省が公開している、サイバーセキュリティ経営ガイドラインがテーマです。開発チームの一員、そしてセキュリティ・エンジニアとしての立場。CISOからの「成果物のセキュリティをきちんとするように」など、命ぜられたときに様々な苦労があります。

対策範囲やコスト(予算・期限)についての認識が、関係者毎に異なっていることが問題の根底にある様に思います。スライドの中の「加害者にならないためのセキュリティ対策」で例を挙げましたが、提案をしたことが結果として制約条件を厳しくしてしまい、却って現場を苦しめる様なケースもあるでしょう。
セキュリティという言葉だけが先行し、経営層が「何をどこまで対策するべきか」と、イメージ出来ていない、または現場とのずれが在ることが原因です。

では、関係者の皆が共通イメージを持てる様になるには、どうすると良いのでしょうか?

サイバーセキュリティ経営ガイドラインを共通認識を確立するための資料として活用してみよう。

このセミナーの主題です。経営層、それから現場の人々も内容を読み、理解をしておくことが大切です。

Ver 1.1

2016年12月8日 サイバーセキュリティ経営ガイドライン Ver 1.1 への改訂がありました。経営者が認識する必要がある「3原則」 の (1) に見られる様に、より現実的で共通認識を築くための資料として利用しやすくなっています。

1.1

ビジネス展開や企業内の生産性の向上のために IT サービス等の提供や IT を利活用する機会は増加傾向にあり、サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。

以前のバージョン(1.0)

セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。このため、サイバー攻撃のリスクをどの程度受容するのか、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。

新しくなったサイバーセキュリティ経営ガイドラインをご活用下さい。そして、スライドにも述べた通り、もう独りで悩んだりしないで下さい。
組織内で解決が困難な課題に直面した際は、DATAHOTEL::SI2 まで、ご相談を頂けますと幸いです。

チームとして、一緒に取り組みましょう。

よろしくお願いいたします。

NHN テコラス株式会社 データホテル事業本部マネージドサービス事業部所属。専門はWebセキュリティ。攻撃者の目線でアプリケーションを分析し、Webアプリケーションファイアウォールの設定やセキュアコーディングを行ってきた。現在は DATAHOTEL::SI2 のエンジニア。
Share
▲ ページ先頭へ