ガイドラインに従うことで
欧米企業並みのセキュリティレベルに
矢野 薫(やの・かおる)プライスウォーターハウスクーパース マネージャー。サイバーセキュリティにおけるマネジメント戦略の策定を専門とし、従来型の情報保護を主体とするセキュリティからサイバー脅威への対応態勢の強化を目的とする「サイバーセキュリティ」への変革やグローバルセキュリティ戦略の立案を、経営側から支援
2015年は日本における「サイバーセキュリティ元年」と言えるだろう。1月にサイバーセキュリティ基本法が全面施行し9月にはサイバーセキュリティ戦略が発表された。
このような国家レベルの取り組みだけでなく、企業でもサイバーセキュリティのための新たな戦略の検討が進んでいる。その際参考としたいのは欧米の先進的な事例であるが、やはり海外の取り組みについて情報を入手するのはどうしても手間と時間がかかる。
一方、欧米で標準となっているサイバーセキュリティのフレームワークに沿って戦略を組み立てていくことで、欧米企業並みのサイバーセキュリティを得ることができる。今回はそんなサイバーセキュリティのグローバル基準とその活用方法を紹介したい。
日本企業はISMSが好き
最新のフレームワークを紹介する前に、まずは日本企業とセキュリティフレームワークの現在の関係について見てみたい。
図1に示すのはISO27001認証(情報セキュリティマネジメントシステム:ISMS)の国別取得企業(組織)数の割合である。日本企業でISMSを取得している企業数はグローバル全体の3割を占めており、さらに認証取得を目的とせずセキュリティ管理のための枠組み(フレームワーク)としてISMSを活用する日本企業も多い。つまりISMSは日本におけるセキュリティフレームワークのデファクトスタンダードとなっているのである。
