前へ 1 2 3 次へ

フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略

サイバー攻撃がサプライチェーンを脅かす今、セキュリティ対策の強化は“ビジネスの武器”になる

【提言】SCS評価制度を“追い風”に変える 中小企業の経営者が認識すべき「3原則・7つの取組」

文●登坂恒夫/フォーティネットジャパン(寄稿) 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

提言:「3原則」と「7つの取組」を理解・実践し、商取引の促進につなげる

 サイバーセキュリティ対策における経営者の役割について、経産省の「サイバーセキュリティ経営ガイドライン Ver3.0」では、次のように記しています。

 経営者は、組織の意思決定機関が決定したサイバーセキュリティ体制が当該組織の規模業務内容に鑑みて適切でなかったため、組織が保有する情報の漏えいなどにより会社や第三者に損害が生じた場合、善管注意義務違反や任務懈怠(けたい)に基づく損害賠償責任を問われ得るなどの会社法・民法等の規定する法的責任やステークホルダーへの説明責任を負う。
 このほか、企業経営の実務上では次のような判断(※注:被害が深刻な場合の事業停止、新たな脅威に対処するための予算措置等)を求められることから、CISO等の担当者へのいわゆる「丸投げ」は許されない。
(出典:経産省『サイバーセキュリティ経営ガイドライン Ver3.0』)

 ここにあるとおり、企業の経営者は、自社のセキュリティ対策やインシデント対応において「法的責任」と「ステークホルダーへの説明責任」を負う立場であり、たとえサイバーセキュリティに詳しくなくても、担当者への「丸投げ」は許されません。重大なセキュリティ事故が発生してから「担当者に任せていた」「知らなかった」では済まないのです。むしろ、ふだんから積極的に関わりを持ち、現状を把握して問題を解決していくことが必要です。

 特に、中小企業ではセキュリティ専任の担当者を配置しているケースはまれです。そのため、経営層がリーダーシップを持って、積極的にサイバーセキュリティに関与していく必要があります。

 前述したIPA「中小企業の情報セキュリティ対策ガイドライン」においても、経産省のガイドラインと同様に、経営者には法的責任とすべてのステークホルダーへの社会的責任としての説明責任があることが明記されています。

 さらに、IPAのガイドラインには、中小企業の経営者が認識すべき「3原則」と、実施を指示すべき「重要7項目の取組」がまとめられています。

■経営者が認識すべき3原則
 ・情報セキュリティ対策は経営者のリーダーシップで進める
 ・委託先の情報セキュリティ対策まで考慮する
 ・関係者とは常に情報セキュリティに関するコミュニケーションをとる

■経営者が指示すべき重要7項目の取組
 ・情報セキュリティに関する組織全体の対応方針を定める
 ・情報セキュリティ対策のための予算や人材などを確保する
 ・必要と考えられる対策を検討させて実行を指示する
 ・情報セキュリティ対策に関する適宜の見直しを指示する
 ・緊急時の対応や復旧のための体制を整備する
 ・委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
 ・情報セキュリティに関する最新動向を収集する

 また、サイバー攻撃によってサプライチェーン全体に影響が及ぶ事案が増えていることを鑑みて、サプライチェーンを構成するすべての企業がセキュリティ対策に取り組むことが重要です。

 サイバーセキュリティ対策を行うことで、企業間の信頼関係が構築され、取引の促進につながることも明らかになっています。IPAの「2024年度 中小企業における情報セキュリティ対策に関する実態調査」では、ふだんからセキュリティ対策投資を行っている企業は、そうでない企業の2倍近く取引につながっている、という実態が報告されています。

情報セキュリティ対策投資が取引につながったか(出典:IPA『2024年度 中小企業における情報セキュリティ対策に関する実態調査』)

 中小企業の経営層は、上述した「認識すべき3原則」と「実施を指示するための重要7項目の取組」をしっかりと理解し、SCS評価制度に適応したセキュリティ対策を実施するための計画的な投資を行うべきです。それにより、サプライチェーンを構成する企業間の信頼関係が構築され、商取引も促進されて、自社の価値が高まっていくことが期待できます。

前へ 1 2 3 次へ
Fortinet トップへ

本記事はアフィリエイトプログラムによる収益を得ている場合があります