最大のリスクは
トップの理解不足

 セキュリティー対策の必要性は以前から指摘されているが、重要情報の流出をはじめとする事件事故が相変わらず続いている。その原因の一つとして挙げられるのが、情報の重要性に対する経営者の意識の低さだ。

 例えば、製造や販売、物流など多数の企業で構成されるサプライチェーン。「ウチの会社は下請けとして部品を供給するだけだから、狙われるような重要情報はない」と考える経営者もいるかもしれない。

 だが、これまでにも、対策が手薄な企業への攻撃を突破口に、大企業の機密情報が窃取された例は少なくない。そういった場合、攻撃のきっかけをつくってしまった企業は取引停止を余儀なくされ、サプライチェーンからの離脱で事業継続が困難になったり、企業の社会的評価が低下したりすることになる。セキュリティー対策の不備が、経営の危機に直結してしまうのだ。

セキュリティーに関する
現場と経営層のギャップ

 多くの経営者にとって、セキュリティー対策の必要性はそれこそ、「耳にたこ」ができるほど聞かされてきたはずだ。それでも効果的な対策が進まないのはなぜだろうか。

 サイバーセキュリティーに関する経営層や企業の動向について興味深い調査結果がある。情報処理推進機構が3月に発表した「企業のCISO等やセキュリティ対策推進に関する実態調査報告書」だ。CISOとは、情報セキュリティー統括責任者のことで、設置している企業はセキュリティー対策にも力を入れているはずだが、図のような調査結果が示されている。

 サイバーセキュリティーに関する課題として、「リスクの見える化が困難」「インシデント発生に備えた準備が不十分」「セキュリティ対策が場当たり的」といった、対策上の問題が上位に挙げられている。

 その一方、「経営とセキュリティの両方を理解している人材がいない」「セキュリティの取組が企業価値の向上につながると認識されていない」「経営層のリスク感度が低い」「経営層にITやセキュリティの重要性を理解してもらえない」といった経営層に関わる課題が指摘されている(図の青文字部分)。

 また、同調査報告書では、経営層が果たすべき役割として、サイバーセキュリティーに対する人材の育成・確保に加えて、投資・対策を進める際に、自社ビジネスへの影響度を把握した上で意思決定を行うことを挙げている。

 自社の何を守り、事業をどう発展させ、社会に貢献するか。セキュリティー対策は経営課題であり、その推進は経営者の責務であることを肝に銘じたい。

資料ダウンロードのご案内

被害に遭ってからでは遅い!
後追いのセキュリティー対策に問題が多い理由

他社が被害に遭ったり、世間で話題になったりしてから、セキュリティーツールを導入する企業は多い。しかし、そうした対症療法的な対策は、運用が混乱するだけでなく、コストも余計にかかることが少なくない。そうした問題を解決する「セキュリティーアセスメント」について紹介する。

主な内容
・セキュリティー対策で陥りがちな“落とし穴”とは?
・経営リスクは千差万別。実は対策も企業ごとに異なる
・その後の改善活動まで視野に入れたアセスメントとは?
・【事例】現場と経営層の意識のギャップを解消
・“ゼロトラスト”時代のセキュリティー対策とは?


※必ずお読みください

これからご登録いただくあなたの個人情報は、

に受け渡され、ご案内などに利用させていただきます。

ダイヤモンド社のプライバシーポリシーはこちら