社風でタイプ診断､｢ビジョン志向かデータ志向か｣｢外部志向か内部志向か｣の2軸4パターンでわかる“サイバーセキュリティ対策”を講じるヒント

「ビジョン志向×外部志向」であれば、自分たちの取り組みをメッセージとして対外的に発信する営みを中心に据えることが考えられます。例えば、IPAの「SECURITY ACTION宣言（セキュリティ対策自己宣言）」や経団連の「サイバーセキュリティ経営宣言」のような営みを実施することで、サイバーセキュリティの活動をポジティブに取り組んでいく姿勢ににつなげることができます。

「ビジョン志向×内部志向」であれば、自社やサービスの理念（ビジョンやミッションなど）との関係性の整理や、場合によっては、理念そのものの改定により、サイバーセキュリティを全社に浸透させることが重要です。

「データ志向×外部志向」であれば、客観的指標として標準的なガイドラインやフレームワークにのっとる形で、他社事例なども参考にしながらサイバーセキュリティ対策の推進計画を軸として打ち立てることが重要となるでしょう。

「データ志向×内部志向」であれば、まずは自身の環境の状況をリスクアセスメントや脅威モデリング、あるいは脆弱性診断やペネトレーションテストなどを通して可視化し、それを共通理解としたうえでさらなる対策立案につなげていくことがポイントとなるでしょう。

実際には、上記4パターンすべて取り組むべきことになるかもしれませんが、どこに重きを置き、どう誰に伝えていくかの参考にしていただき、経営層・担当者・外部パートナーが一体となり、前向きな形で、真に強いセキュリティ体制を築くヒントになれば幸いです。

「セキュリティ対応組織の教科書」とは

例えば、私が所属するGMOインターネットグループでは、「ビジョン志向×内部志向」の観点では、「GMOイズム」と呼ばれる理念体系に「お客様のセキュリティを守るのも大切な役割」「お客様に安心・安全を届けるためにまずは自らの守りを固めよう」というメッセージを組み込んでおり、「データ志向×外部志向」観点では、日本セキュリティオペレーション事業者協議会（ISOG-J）の「セキュリティ対応組織の教科書」をベースとして計画を立案するなどしています。

この「セキュリティ対応組織の教科書」は、私が執筆メンバーであることももちろんあるのですが、サイバーセキュリティとして必要となる取り組みが9カテゴリー64業務として整理されており、またITU-T X.1060という国際標準のベースにもなっていることから、グローバルの観点でも共通言語として使えるため非常に重宝しています。