1/6 PAGES
2/6 PAGES
3/6 PAGES
4/6 PAGES
5/6 PAGES
6/6 PAGES
日本では2015年12月に経済産業省から「サイバーセキュリティ経営ガイドライン」が公開されているが、ご存じだろうか。本ガイドラインでは、各企業はCISOのようなサイバーセキュリティの責任者と、組織内CSIRTを設置することを推奨している。
これを深読みするならば、次の意図があったのではないだろうか。
経済産業省の意図とは?
・もはや政府だけでは、日本をターゲットとするイベントを把握できても、実際のサイバー攻撃までは把握しきれない。
・CISOを設置し、責任を持って自組織のビジネスインパクトが想定されるサイバー攻撃を管理させることで社益を守らせよう。
・インシデントが発覚したら情報共有の名の下に、監督官庁へ報告をさせれば、サイバー攻撃の実態が国家として把握できるかもしれない。
経済産業省からのガイドラインであるので、国益と社益が密に関係することで経済が発展していく、という大きな絵図が根底にあると仮定すると、こんなストーリーがあったのかもしれない。
このあたりをくむと、前述の3点はCISOが判断するのがベストではないだろうか。初動対応が社運を決定づける場面もあるわけなので、サイバーセキュリティの責任者であるCISOが組織内CSIRTと協議し対策方針を立てるのがよさそうだ。
