6-1-2. 企業経営のためのサイバーセキュリティの考え方
企業経営のためのサイバーセキュリティの考え方
サイバーセキュリティ対策にかかる支出をやむを得ない費用とするのではなく、経営のために必要な投資と位置付け、自発的にサイバーセキュリティ対策に取組むことが重要です。デジタルトランスフォーメーションの推進にあたり、IoTなどのデジタル技術を積極的に取り入れる中、安全性が高い品質の製品やサービスを実現していく取組は、企業価値や競争力の向上に繋がります。そのため、デジタルトランスフォーメーションの推進とサイバーセキュリティ対策の強化の両方に取組むことが大切です。
サイバーセキュリティ対策を行うにあたって、以下の基本的認識や留意事項を理解し、自社の現状のIT活用状況や、セキュリティ対策の取組レベルに応じた対策を行うことが大切です。
2つの基本的認識
<①挑戦>
サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。
<②責任>
全てがつながる社会において、サイバーセキュリティに取組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することとなる。
3つの留意事項
<①情報発信による社会的評価の向上>
- セキュリティ対策を、仕方なくやるものではなく、企業価値を高め、品質向上に有効な経営基盤の一つとして位置付けることが必要。
- サイバーセキュリティに関する取組みや方針を情報発信することによって、関係者の理解を深め、社会的評価を高めることができる。
<②リスクの一項目としてのサイバーセキュリティ>
- 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。
- 経営層のリーダーシップが必要。
<③サプライチェーン全体でのサイバーセキュリティの確保>
- サプライチェーンでつながるどこかの企業のセキュリティ対策が不十分だと、そこから自社の重要情報が流出してしまうなどの問題が起きる可能性がある。そのため、サプライチェーン全体で一定レベルのサイバーセキュリティの確保が必要。
- 一企業のみでの対策には限界があるため、関係者間での情報共有活動への参加などが必要。
図29.ITの活用またはサイバーセキュリティ対策の取組み状況に応じた分類と対策
(出典)NISC「企業経営のためのサイバーセキュリティの考え方の策定について」を基に作成
企業のIT活用状況、サイバーセキュリティ対策の取組みのレベルに応じた、実施すべき対策について説明します。企業のIT活⽤状況および、サイバーセキュリティ対策の意識や実施レベルは、以下の6つに分類できます。「理想的」な状態が一番良く、この状態を実現していくためには、自社が置かれているレベルに応じた対策を進めることが重要です。必要な対策の一例を「もっと積極的」、「無駄な投資」、「危険」に該当する分類ごとに紹介します。
「理想的に」レベル
[分類1]ITの利活用を事業戦略上に位置付け、サイバーセキュリティを強く意識し、積極的にITによる革新と高いレベルのセキュリティに挑戦する企業
「もっと積極的に」レベル
[分類2]IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略としての組み込みはできていない企業
対策
ITを積極的に活用してビジネスの展開を目指すことが重要であり、攻めのIT投資に関する取組みを行うことです。
「無駄な投資」レベル
[分類3]過剰なセキュリティ意識により、ITの利活用を著しく制限し、競争力強化に活用させていない企業
対策
リスクを再評価して、サイバーセキュリティ対策が過剰になっている部分については見直しを行うことが必要です。
「危険」レベル
[分類4]サイバーセキュリティ対策の必要性は理解しているが、必要十分なセキュリティ対策ができていないにもかかわらず、ITの利活用を進めている企業
対策
情報セキュリティポリシーの策定と実践が必要であり、まずはサイバー攻撃を受けたときのための緊急時対応用マニュアルを作成すべきです。
[分類5]サイバーセキュリティの必要性を理解していない企業や、自らセキュリティ対策を行う上で事業上のリソースの制約が大きい企業
対策
コストがあまりかからない最低限のセキュリティ対策から実施することが重要であり、例えば「情報セキュリティ5か条」の対策を行うべきです。
「対象外」レベル
[分類6]ITを利用していない企業
図30.ITの活用またはサイバーセキュリティ対策の取組み状況に応じた分類と対策
(出典)東京都「 ITおよびサイバーセキュリティに関する組織の視点6分類」を基に作成