ガイドラインが示すセキュリティ対策の将来像
サイバーセキュリティの世界では、攻撃者が優位だといわれる。いつ、どのような方法で攻撃を仕掛けるのかは、狙われる企業や組織にとっては分からない。それでも迅速な対応が求められる。
また、巧妙化するサイバー攻撃への対策を怠ると、企業や組織はその存続を危ぶまれるような打撃を受けてしまいかねない。迅速で適切なサイバー攻撃対策を講じるには、やはり経営層がそのリスクを把握、理解し、組織全体で行動していく必要がある。
まずは自社・自組織で守るべきIT資産をリストアップする。それらが侵害によってどの程度のダメージを被るのかをランク付けすることで、最も守るべきIT資産が明らかになる。もちろんその際には、重要10項目に記載されているサプライチェーンなどのビジネスパートナーにおけるセキュリティ対策の状況を加味する必要もあるだろう。このようにすることで、IT資産を守るために必要な対策方法が見えてくる。
そこで重要なのは、セキュリティ対策を実現するための目標と計画へ全社的に取り組めるよう、経営層が率先してリーダーシップを発揮していくことだ。経営層を抜きにして、セキュリティ対策に必要な予算や人材などの確保はできない。具体的な対策の内容は、企業規模や業種、業態によって異なるが、サイバーセキュリティ経営ガイドラインをきっかけに中小企業でもセキュリティ対策を充実させていくことで、サイバー攻撃に強い企業や組織になれる。
さらに理想としては、サイバー攻撃を検知するためのセキュリティ監視センター(Security Operation Center:SOC)と、攻撃を検知した際に対応する「CSIRT」(Cyber/Computer Security Incident Response Team)の設置も挙げられる。SOCやCSIRTの普及が進めば、異なる企業・組織の間でセキュリティにおける情報共有が可能になり、全体のセキュリティレベルを押し上げていける。
そのためにも、サイバー攻撃の動向やセキュリティ対策に関する経営層の理解を促進させることが第一歩となるだろう。