ナレッジ

失敗しないためのセキュリティガバナンス整備

第8回 サイバーセキュリティ先端研究所 記者向け勉強会 ダイジェスト

2016年3月8日(火)開催 本勉強会では成功事例を基にしたガバナンス整備や効果的なサイバー攻撃対策検討の進め方等を解説しました。

成功事例に基づくセキュリティガバナンス整備の重要論点の紹介

デロイト トーマツ サイバーセキュリティ先端研究所 主任研究員
高橋宏之

高橋は、セキュリティ課題が複雑化しているとし、例として事業の多角化やM&Aによるグループ内にさまざまな規模・役割の企業が増加していることや、未知のサイバー攻撃の発生、新たなIT機器や情報システムの導入、自社製品のIoT化などを挙げ、部門単体での解決が困難になっていると説明。また、セキュリティに関するさまざまな動向を背景に、企業はセキュリティを重要な「経営課題」として認識すべきであるとした。さらに2015年末には、経済産業省が新たに「サイバーセキュリティ経営ガイドライン」を公表したことで、グループ企業やビジネスパートナーも含めた「全体最適」の対応が求められる。

高橋はこれらを踏まえ、まずは基本構想を明確にする必要があるとして、セキュリティガバナンス整備における5つの明確にすべき重要論点を紹介した。それは、「セキュリティにおけるガバナンスとマネジメントの関係とは?」「セキュリティガバナンスの対象とする資産は?」「全社横断的に取り組むべきセキュリティ業務とは?」「セキュリティガバナンス推進のための組織とは?」「あるべきセキュリティポリシーの姿とは?」であり、自社の特性を踏まえて検討することが成否を左右するとした。

サイバーセキュリティ時代に求められる対策検討の勘所

デロイト トーマツ サイバーセキュリティ先端研究所 研究員
兼松孝行

兼松は、サイバーセキュリティ時代であっても、対策計画検討の主な流れは従来と同様であるとし、「現状の把握」「評価」「計画」の対策検討ステップを踏むべきとした。その際には、「さまざまな公的基準を活用」「複数の視点から現状の成熟度を可視化」「システム特性を踏まえて目標水準を設定」「サイバー攻撃の視点で対策を整理」の4つがポイントとなる。

たとえば、公的基準には「ISO 27001」や「PCI DSS」「SANS 20 CRITICAL SECURITY CONTROL」「NIST Cyber Security Framework」などがあり、それぞれ視点の違いがあるため、組織やプロジェクトの狙いに合わせて活用すべきであるとした。また、複数の視点とは「人」「プロセス」「テクノロジー」の3つで、それぞれの成熟度を可視化していく。目標水準は、ベストプラクティスを目指すのではなく、企業がさらされている脅威の観点と、その影響度合いの観点から、適切な目標水準を決定する。この際、画一的な「To-Be」ではなく、システム特性を踏まえた「To-Be」を設定すべきとしている。サイバー攻撃対策では、「予防」「発見」「対応」のサイバー攻撃への対応プロセスに沿うことで、対策を整理しやすく、かつ効果的な対策を行うことができるとした。

サイバー・情報セキュリティのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。

>> オンラインフォームよりお問い合わせを行う <<


サイバー・情報セキュリティについて、詳しくは以下のメニューからお進みください

サイバー・情報セキュリティTOP

サイバーセキュリティマネジメントサービス 一覧

プライバシー・個人情報保護サービス 一覧

お役に立ちましたか?