経営層こそ知るべき､Webサービスやアプリケーションのリリース前は｢脆弱性診断｣がマナー？小規模サービスでもセキュリティ対策は必要

それと同じように、セキュリティ対策も課題だと感じていることと、そのために必要な対策がすぐに一致しない場合もあるんです。そのため、実施しようとしているセキュリティ対策が妥当なのか、それによって何が守られるのかといったことをしっかり相談したうえで対策を進めることが重要になります。

経営層も「セキュリティフレームワーク」を知ろう

——専門家に適切な依頼をするためにも、経営層もセキュリティ対策についての基本的な知識は必要だと感じました。セキュリティ対策はどのように進めればよいのでしょうか？

「サイバーセキュリティフレームワーク」にのっとった対策を行うことが基本となります。これは、セキュリティに対する考え方をまとめてくれた本のようなものだと思ってください。セキュリティフレームワークに基づいて対策を行うことで、漏れをなくすことができたり、誰が見ても同じ観点で評価できたりするというメリットがあります。

経営層の方も、そういうフレームワークがあることをまず知ってください。そして、実現したいことによって採用するフレームワークが異なるので、その先は信頼できるセキュリティの専門家の力を借りて対策を行うのが理想です。

アメリカの政府機関米国国立標準技術研究所（NIST）が公開している「Cybersecurity Framework」。公式サイトでは、ドキュメントや動画などを見ることができる（https://www.nist.gov/cyberframework）

セキュリティ対策は、経営者が実施すべき経営課題のひとつ

——ユーザー数の少ないアプリケーションや小規模なサービスの場合、「小規模だからそこまでしっかり対策しなくても」と考えてしまう人もいそうです。それではだめなのでしょうか？

利用者の視点で考えればよくわかると思います。脆弱性診断をしっかりしている企業と、対策をせずにサービスを運用している企業があったとして、価格が同じだったらどちらを利用したいと考えるでしょうか？ 安全な方を選びますよね。