サイバー攻撃なんて、大企業だけのことと思っていませんか。
実は、インターネットに接続していれば、まったく無関係ではありません。政府もサイバーセキュリティ対策をすることを企業に求めています。
経済産業省は、独立行政法人情報処理推進機構(IPA)とともに、経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、「サイバーセキュリティ経営ガイドライン」を策定して公開しています。
「サイバーセキュリティ経営ガイドライン」Ver2.0が平成29年11月16日に公開されています。このたびの改正では、付録としてエクセルシートで「付録C インシデント発生時に組織内で整理しておくべき事項」を追加しました。
その前の版では、いかにサイバー攻撃から防御するかが記載されていたのですが、この改正で、攻撃は受けるものとして、攻撃を受けた際に被害を最小限にすることをあらかじめ考えておくことが示されています。
私は、このガイドライン新版が公開されたとき、すごく驚きました。
これまで、いかにセキュアな環境を構築するかといったガイドラインばかりでしたが、攻撃されることを前提とするようシフトしているからです。
担当者としては、できれば被害を受けることは考えたくありません。しかし、ことが起こってしまった場合、とっさに何をしたらいいのかすぐに考え付くとは思えませんし、間違った対応で被害を大きくしてはいけないとますます慎重になりました。
経営層に対策の必要性を説得する際に、こうした経済産業省のガイドラインを提示すると説得力があります。
しかも、経営者が率先して対策をするよう呼び掛けていますので、使わない手はありません。必要な時間、予算、人員を確保しやすくなります。
サイバーセキュリティ経営ガイドラインについて、少しずつ解説していきます。