企業にとって、サイバーリスクに備えたセキュリティを構築していくことは必要不可欠ですが、経営層の中にはその重要性を理解していない人も少なくありません。
少なからず予算が必要なサイバーセキュリティの重要性を理解してもらわなければ、対策を進めていくのも難しいでしょう。
重要性について、どのように理解してもらえばいいのでしょうか?
経営層の考え
日本の経営層は、欧米諸国と比較してサイバーセキュリティへの関心が薄いといわれていることをご存知でしょうか?
実際に、どのくらい関心があるのか、関連するアンケート結果から考えてみましょう。
欧米諸国では、サイバーセキュリティ対策として情報セキュリティ最高責任者となるCISOという役職を設置する企業が増えつつあります。
それに関連した実態調査として、企業へのアンケートが行われています。
アンケートでは、まず情報セキュリティについて会議などを行っているかという問いに対して、日本の企業では約58%が会議を行っていると回答しています。
これは、米国の83%、欧州の72%と比較しても低い結果となっています。
また、情報セキュリティの最高責任者の設置状況についても、日本では専任として設置している企業が約28%、検認として設置しているのが約35%となっています。
米国では79%が専任、16%が兼任として設置していて、欧州でも67%が専任、18%が兼任として設置している状況と比較してみると、まだまだ設置が進んでいるとはいえないでしょう。
この結果からも、経営層がサイバーセキュリティを重要視しているケースはまだまだ少ないことがわかります。
それでは、その重要性を知ってもらうにはどうしたらいいのでしょうか?
重要性を伝えるために
企業の経営層にサイバーセキュリティの重要性を伝えるために、経済産業省とIPAが策定したサイバーセキュリティ経営ガイドラインというものがあります。
これは、経営者が先頭に立ってサイバーセキュリティを推進していくことを前提としているものなので、重要性を理解してもらうにはちょうどいいでしょう。
ガイドラインに書かれているのは、経営者が認識するべき3原則と、経営者からセキュリティ責任者へと指示をする必要がある重要な項目10個についてです。
まずはそれがどのようなものかを理解してもらいましょう。
セキュリティというのはどうしても、攻撃してくる側に対処することになるので、後手に回ってしまいます。
だからこそ、事前に備えておき迅速に対応できるようにしておくことが重要なのです。
そのためには、対策に必要となる人員や予算を確保しなくてはいけないのですが、経営層に一から説明して確保するというのは大変です。
しかし、経営層が主導して行うのであれば、その予算計上などもスムーズにいくようになります。
今後、サイバー攻撃はますます激しくなっていくと考えられます。
企業はそれに対応できるような体制づくりを進めていかなくてはいけないのですが、一朝一夕にできるものではありません。
その内容によっては、会社の経営が困難になる場合もあるので、備えをしておくことは非常に大切となります。
そのためには、経営層がしっかりとリスクを理解して主導的に対策を勧めるように、理解を促していくことが重要となるでしょう。
まとめ
企業が対策を講じる時、経営層にその重要性を理解してもらう必要があります。
日本の企業では、欧米諸国と比較してその必要性について理解していない企業も少なくないので、まずはその重要性を伝えるところから始めなくてはいけません。
そのためには、ガイドラインを見てもらうことで経営層を主導的な立場にしてしまうのが最もわかりやすいかと思います。
そのためにも、まずは理解を促すところから始めましょう。