これまで、サイバーセキュリティ系のイベントに主に参加するのが技術者だったのとは対照的に、ガイドラインの発表により、マネジメント層や経営者層も足を運ぶようになってきています。
また、日本のキープレイヤーたちもこうした動きに呼応しています。1月に経団連は「サイバーセキュリティ対策の強化に向けた第二次提言」を発表し、経営者層の意識向上を促すとともに、サイバーセキュリティの確保を「経営上のリスク管理の重要項目」と位置づけています。
経団連が先鞭を付けた後、この4月には富士通がグループ全体に適用するグローバルな「富士通グループ情報セキュリティ基本方針(グローバルセキュリティポリシー)」を策定、発表しました。日本企業は文化的に足並みをそろえることを好むため、他企業も今後続々とこうしたポリシーの策定をするものと思われます。
「サイバーセキュリティ経営ガイドライン」が示すもの
日本政府は、本ガイドラインの概要の中で、サイバーセキュリティは経営問題であり、知財など企業価値を守るためIT及びセキュリティに対する投資を経営判断としてすべきであるとうたっています。合わせて、経営者が認識する必要のある「3原則」及び情報セキュリティ対策を実施する上でのトップとなる最高情報セキュリティ責任者(CISO)に指示すべき「重要10項目」について説明が加えられています。
3原則とは、下記のとおりです。
- 経営者がリーダーシップをとって、経営に対して受容できるリスクのレベルを勘案し、サイバーセキュリティに投資する
- 情報漏えいリスクの軽減のために、自社のみならず、系列企業及びビジネスパートナーのセキュリティ対策も策定する
- サイバーセキュリティ対策について関係者に説明し、コミュニケーションをとり、信頼を構築する
