ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ 経営者の視点

なぜ、経営者にとってサイバーセキュリティの
マネジメントは難しいのか

デロイト トーマツ サイバーセキュリティ先端研究所
【第1回】 2017年2月7日
著者・コラム紹介バックナンバー
previous page
4
nextpage

 昨今、「Cyber Kill Chain」という攻撃者の攻撃プロセスを意識して防御、つまりセキュリティ対策を設計する考え方が広まっています。攻撃者の攻撃プロセスのどこかの段階で攻撃を防げれば、最終的には被害を受けないという発想です。これもセキュリティ対策を考えるための、リスクアセスメント、リスク対象の決定プロセスの一部として、つまり対策の決め方の方法のひとつとして考えることができます。

対策の実施

 実施計画ができれば、それを実施していくことになります。クライシスマネジメントの観点からは、訓練が非常に重要となります。訓練のときにできなかったことは、本当の危機に陥ったときにできません。

モニタリング

 ここでは、様々なモニタリングのあり方について、「独立性」対「業務密接性」を縦軸に、「法的・技術的専門性」対「経営的・監査専門性」を横軸にしてマッピングしてまとめています(図表5)。それぞれの特性に合わせて組み合わせ実施していくことが重要です。最近内部統制の領域で言われている「Three Lines of Defense」という現場、専門部門、内部監査部門といった考え方も参考にするとよいでしょう。

 第1のラインは、リスクを最前線で所有し、コントロールとリスクマネジメントのプロセスを整備し実施する責任を負います。第2のラインは、リスクを管理するためのプロセスとコントロールを設計・整備し、経営者を補佐し、活動のモニタリングを行うと共に、新たなリスク変化等を識別しモニタリングする責任を負います。第3のラインは、独立的な立場で客観的にリスクマネジメント、内部統制の有効性と効率性を合理的に保証する責任を負います。これらの3つの機能をうまく組み合わせてモニタリングすることが重要です。

見直し・改善

 モニタリング活動の過程で、期待されているレベルからの逸脱が発見されることがあります。その発見事項もしくは除外事項は上位の責任者に報告されることになります。報告結果は検討され、次の改善へとつなげていきます。

previous page
4
nextpage
IT&ビジネス
クチコミ・コメント

facebookもチェック

デロイト トーマツ サイバーセキュリティ先端研究所

ICT(情報通信技術)の急速な発展は、企業や組織の活動にこれまでにはなかった新しいリスクを生み出しています。日々巧妙化するサイバー攻撃は企業や組織を脅かす存在となり、重要な経営課題の1つとなっています。 デロイト トーマツ サイバーセキュリティ先端研究所は、デロイト トーマツ グループに所属するサイバーセキュリティの専門家を集結させることで、サイバー攻撃に対抗するための基礎研究等を行っています。 https://www.deloitte.com/jp/dt-arlcs

サイバーセキュリティ 経営者の視点

経営者は情報セキュリティに対するリスクマネジメントや投資についてどう考え、取り組むべきか。さまざまな視点でデロイト トーマツのセキュリティエキスパートがリレー形式で解説する。

「サイバーセキュリティ 経営者の視点」

⇒バックナンバー一覧