中堅・中小企業の経営者が一読すべき文書として、「サイバーセキュリティ経営ガイドライン」をお奨めします。
本ガイドラインは平成27年に第1版がリリースされましたが、令和5年に第3版がリリースされています。
一言でその主旨を述べるとすると、サイバーセキュリティに関する対策は社内の一部の部署・担当者に任せるのではなく、経営者自らが、経営課題として取り組む必要があるということになります。
「サイバーセキュリティなどは大会社の話で、うちのようなところは何もそこまでやらなくても…..」というお言葉を中小企業の社長様からはよく耳にします。
ですが、ハッカーはセキュリティ対策の進んだ大企業よりも、中小企業を狙いつつあります。
中小企業のセキュリティホールから侵入して、大企業に侵入することを狙っています。
もし、そのようなことが現実に起きれば、取引先に多大な迷惑をかけるばかりでなく、最悪の場合は取引停止に至るかもしれません。
そうなる前に人的・資金的にできることから、手を付けていきましょう。
以下は、サイバーセキュリティ経営ガイドラインの骨子ですが、ぜひ全編を一読されることを強くお奨めします。
全編はこちら、経済産業省「サイバーセキュリティ経営ガイドライン」
また、関連情報を含めた詳細はこちら「サイバーセキュリティ経営ガイドラインと支援ツール」
それでは「サイバーセキュリティ経営ガイドライン」のアウトラインを見ていきましょう。
本ガイドラインは「経営者が認識すべき3原則」と「サイバーセキュリティ経営の重要10項目 」から構成されます。
「経営者が認識すべき3原則」は文字通り、経営者のマインドに関わるもので、その内容は以下の通りです。
- 経営者は、サイバーセキュリティリスクが自社のリスクマネジメントにおける重要課題であることを認識し、自らのリーダーシップのもとで対策を進めることが必要
- サイバーセキュリティ確保に関する責務を全うするには、自社のみならず、国内外の拠点、ビジネスパートナーや委託先等、サプライチェーン全体にわたるサイバーセキュリティ対策への目配りが必要
- 平時及び緊急時のいずれにおいても、効果的なサイバーセキュリティ対策を実施する
ためには、関係者との積極的なコミュニケーションが必要
次の「サイバーセキュリティ経営の重要10項目」は、経営者がセキュリティ対策の責任者や担当部署を通じて実践すべき項目をあげています。
- サイバーセキュリティリスクの認識、組織全体での対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策のための資源(予算、人材等)確保
- サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- サイバーセキュリティリスクに効果的に対応する仕組みの構築
- PDCA サイクルによるサイバーセキュリティ対策の継続的改善
- インシデント発生時の緊急対応体制の整備
- インシデントによる被害に備えた事業継続・復旧体制の整備
- ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把
握及び対策 - サイバーセキュリティに関する情報の収集、共有及び開示の促進
すべてを一度にやる必要はないですが、まずは経営者が一読後、自社が優先して取り組む事項を考案してみてください。
