Special Issue
情報処理推進機構(IPA) 経営者と実務者の協同で効果的に対策 ビジネスリスクのサイバーセキュリティ
2022/09/01 09:00
週刊BCN 2022年08月29日vol.1936掲載
2日目の特別講演では、独立行政法人情報処理推進機構(IPA)・セキュリティセンター・セキュリティ対策推進部・セキュリティ分析グループ研究員の安田進氏が登壇し、「ビジネスリスクとしてのサイバーセキュリティ―経営者と実務者が協同するために―」をテーマに講演を行った。
IPAは、経済産業省所管の独立行政法人として日本のIT国家戦略を技術面・人材面から支える活動を展開している。そのセキュリティセンターで情報セキュリティの調査研究と普及啓発活動に携わる安田氏は、情報セキュリティ10大脅威2022組織編のトップ3を「ランサムウェアによる被害」「標的型攻撃による機密情報の窃取」「サプライチェーンの弱点を悪用した攻撃」と紹介。具体的事案の概要を説明しつつ、「サイバー攻撃の発生頻度は4年前の6倍に増加している」と説明した。
このような動きを受けて、政府も「経営層のコミットメント重視」をセキュリティ政策の一つに設定。企業がとるべきセキュリティ対策をIPAなどを通じて示している。
その最も重要な指針となるのが、3原則と重要10項目からなる「サイバーセキュリティ経営ガイドライン」だ。ここに記されているのは、経営幹部がサイバーセキュリティを事業リスクとして認識し、サプライチェーン全体をカバーするセキュリティ対策と関係者とのコミュニケーションの仕組みを整備すべきであるということ。CISOなどのセキュリティ担当幹部向けには、サイバーセキュリティリスクに備えるための管理体制と対策のポイントも列挙されている。
また、事例などの具体的な解説を求める声に応えて、IPAは「サイバーセキュリティ経営ガイドライン実践のためのプラクティス集」を公開している。「このプラクティス集には、重要10項目の実践事例と、セキュリティ担当者の悩みや取り組み事例をまとめた」と、安田氏。具体的に何をすればよいのか、限られた人材でどのような体制を組めばいいのか、の参考になるのではないかと述べた。
このほか、その企業のセキュリティレベルを可視化するためのツールとして、IPAは「サイバーセキュリティ経営可視化ツール」をWebサイトで公開している。このツールは、サイバーセキュリティ経営ガイドラインに関する39の選択式質問に答えると、重要10項目に対する充足度がレーダーチャートとして表示される仕組みだ。
「経営層と実務者のコミュニケーションやステークホルダーに対する情報開示に役立てていただきたい」と安田氏は勧めた。
- 1