日本企業のセキュリティ対応は問題だらけだ インシデント(致命傷)はどうすれば防げるか

日本では2015年12月に経済産業省から「サイバーセキュリティ経営ガイドライン」が公開されているが、ご存じだろうか。本ガイドラインでは、各企業はCISOのようなサイバーセキュリティの責任者と、組織内CSIRTを設置することを推奨している。

これを深読みするならば、次の意図があったのではないだろうか。

経済産業省の意図とは？

・もはや政府だけでは、日本をターゲットとするイベントを把握できても、実際のサイバー攻撃までは把握しきれない。

・CISOを設置し、責任を持って自組織のビジネスインパクトが想定されるサイバー攻撃を管理させることで社益を守らせよう。

・インシデントが発覚したら情報共有の名の下に、監督官庁へ報告をさせれば、サイバー攻撃の実態が国家として把握できるかもしれない。

経済産業省からのガイドラインであるので、国益と社益が密に関係することで経済が発展していく、という大きな絵図が根底にあると仮定すると、こんなストーリーがあったのかもしれない。

このあたりをくむと、前述の3点はCISOが判断するのがベストではないだろうか。初動対応が社運を決定づける場面もあるわけなので、サイバーセキュリティの責任者であるCISOが組織内CSIRTと協議し対策方針を立てるのがよさそうだ。