経営とサイバーセキュリティ<感想&まとめ>
サイバーセキュリティが経営に与えるビジネス的なインパクトを知りたくて、改めてサイバーセキュリティ×経営について勉強中です。
今日の記事では、「経営とサイバーセキュリティ」という本の中から、気になった部分をピックアップ、コメントしたいと思います。
なぜサイバーセキュリティが経営課題なのか?
理由1.事業継続性
サイバーセキュリティのインシデントが起こった時に経営に甚大なインパクトを与えるのは情報漏洩ではなく、事業継続を妨げられるような事態である。
例えば、病院が攻撃を受け、ランサムウェアに感染し、電子カルテ等が使えなくなったら、病院機能が停止し、事業継続が不可能となってしまう。その為、事業継続性を担保できるようなシステムの構築、プランの制定が不可欠。
理由2.トラスト(信任)を守る
泥棒にお金を盗まれた時、玄関に鍵もかけず、座敷に現金を山積みしていた場合と、玄関に鍵もかけ、現金は鍵のかかった金庫に入れていた場合とでは、周りの受け止め方に大きな差がある。
ここは少し分かりにくいが、要は最低限のセキュリティ対策を行う事が、企業の義務として必要になってきている、という事だと理解した。
「不正会計をせず、しっかり会計を行い、必要な情報を開示する」など企業にとって当たり前の事だが、サイバーセキュリティに関しても最低限の対策をしなければ事業を行えない、と理解した。
理由3.デジタルイノベーションを生かす成長の基盤づくり
銀行であればインターネットバンキングを活かして顧客サービスの質を高める際、確実なセキュリティ対策が求められる。
ここも少し分かりにくいが、DXを行うためにセキュリティが必ず付帯する、位の意味あいで使用している。
サイバーセキュリティのポイント
ポイント1.何を守るかを優先付けて、優先度に応じた多層防御を講じる
一箇所だけの防御だと弱いので、メールセキュリティ、FW、エンドポイントセキュリティなどの多層防御を行う。
ポイント2.早期発見、早期対応・復旧の準備を整える
CSIRTなどの構築を通じて、事前準備を行う。
ポイント3.取締役会・経営会議で定期的にレビュー
サイバーセキュリティは事業横断的な取り組みも多いため、経営者のコミットをもとに行う。
まとめ
サイバーセキュリティは経営課題である事がよく理解できた。この本に書いてあるように、サイバーセキュリティは事業を継続する為に重要な為、経営会議レベルでのコミットメントが必要である。
一方、どうしてもお金がかかり、事業活動に制約を与えてしまう活動になってしまう為、そのあたりをどう経営者に説明するか。。。
「事業活動継続に必要です、だってシステムがDDosで止まったり、情報漏洩したら困るでしょ」 それはその通りなんだけど、じゃあそこに「いくら」お金を使えば良いのか、人に説明できるよう、もう少し勉強していきたいですー。
Amazonのアフィリエイトプログラムに参加しています。もし記事が面白いと思ったら、上記リンクから購入頂けると嬉しいです~!