メルマガ登録
DXの進展によって、企業の利用するデータ量は増し、システムや業務の内容は複雑化していくことが予想されます。これに伴い、セキュリティリスクへの備えが企業内では急務となっています。
サイバーセキュリティを担保するには、データやシステムを守るための体制構築と人材確保が欠かせません。政府(経済産業省)では、これらに際して検討すべき内容を手引きとしてまとめています。今回の記事では、その内容を紹介してDXとサイバーセキュリティ、そしてその体制構築についてご説明します。
(DXの定義や意味をより深く知りたい方はこちらもご覧下さい)
【関連】「DX=IT活用」ではない!正しく理解したいDX(デジタル・トランスフォーメーション)とは?意義と推進のポイント
サイバーセキュリティは、今や経営課題として取り組むべきと考えられています。経済産業省と情報処理推進機構(IPA)が作成した「サイバーセキュリティ経営ガイドライン」をもとに、サイバーセキュリティ対策全体の概要と体制構築や人材確保といった対策の位置づけについてご説明します。
サイバーセキュリティ経営ガイドラインは、経営者のリーダーシップのもとで、サイバーセキュリティ対策の推進を促すために策定されたガイドラインです。
当ガイドラインを策定した背景として、ITやセキュリティに対する投資がますます重要となり、経営課題となっている現状があります。IT活用が企業の収益力向上に欠かせない一方で、企業の保有する個人情報や技術情報などを狙うサイバー攻撃が増加傾向にあり、しかも手口が巧妙化しています。企業がサイバー攻撃から身を守るためにも、経営者が対策の重要性を認識しリーダーシップを発揮することが期待されているのです。
サイバーセキュリティ経営ガイドラインでは、経営者がサイバーセキュリティ対策の責任者となる担当幹部に対して以下の10項目を指示すべきであるとされています。
指示1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 : サイバーセキュリティリスク管理体制の構築
指示3 : サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 : サイバーセキュリティリスクに対応するための仕組みの構築
指示6 : サイバーセキュリティ対策における PDCA サイクルの実施
指示7 : インシデント発生時の緊急対応体制の整備
指示8 : インシデントによる被害に備えた復旧体制の整備
指示9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
指示10: 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
全社的な対応方針を定めたうえで、実施のための体制構築とリソースの投入を進め、細部の対応計画を練っていくとともに継続的な改善に向けた仕組みづくりを行うのが基本的な流れとなっています。
今回主に解説する管理体制の構築や人材確保については、上記の重要10項目のうち主に指示2や指示3に該当します。そして、これらの分野について企業関係者が詳しく検討を進めるための手引きとして、「サイバーセキュリティ体制構築・人材確保の手引き」が公開されています。
ここでは、体制構築と人材確保のそれぞれについて、実施すべきアクションやその具体的な手順などが記載されています。これを参考にすることで、効果的に対応を進めることができると考えられます。
体制構築の方法は、経営者のリーダーシップ、セキュリティ統括機能の検討、関連組織の特定と責任の明確化という3つに分かれています。
DX推進の潮流が世界的に巻き起こる中で、デジタル技術の活用は競争力の源泉として、単なるIT課題ではなく経営の根幹に関わる課題として認識される必要があります。その一方で、サイバー攻撃の件数は増加し、手口は巧妙化しており、大企業のみならず中小企業までターゲットとなっています。
したがって、経営者はサイバーセキュリティが経営リスクの一つであるとともに、知的財産窃取や損害賠償など、他の経営リスクと直結した全社的なリスクでもあることを認識しなければなりません。単に情報システム部門やリスクマネジメント関連部署だけでなく、事業部門、経営企画部門、法務部門や広報部門、さらには海外を含めた他拠点やグループ会社など、多様な関係者を巻き込んでサイバーセキュリティに取り組む体制構築を進める必要があります。
ガイドブックでは、具体的な体制の在り方について、会社の規模や事業内容などに応じて各会社が決定すべきであるとしています。
セキュリティ統括機能とは、担当幹部や経営層を補佐する形で、セキュリティ対策を組織横断的に統括する機能のことです。具体的な業務内容としては、以下のような図が掲げられています。
このように、セキュリティ統括機能は方針策定・実務・実務支援の3種類に分けることができます。このセキュリティ統括機能は、既存のリスクマネジメント機能と区別して検討することが望ましいとされています。理由としては、リスクを伴う業務を行う部署ごとにセキュリティ対策を検討するより、部門間の連携を可能にするためにも部門横断的な体制で取り組む必要があるからです。
セキュリティ対策の実務を担う部門を抽出するとともに、自社で実施する内容と外部委託する内容を切り分けたうえで自社に適したセキュリティ体制を検討する必要があります。
抽出される部門の例としては、IT部門や事業部門を始め、関連法案の遵守や契約内容の点検を行う法務部門、セキュリティ対策への投資やサイバーセキュリティ保険の契約を司る財務部門、リスク管理や施設管理などを行う総務部門、メディア対応や投資家対応を担当する広報部門などが考えられます。
自社で必ず実施しなければならないのは、経営判断に直結する分野、管理部門が担当すべき分野、リスクマネジメントに相当する分野などです。それ以外の分野は、目的や経営方針などに応じて自社か外部委託かを検討することになります。
タスクが決まったら、それぞれどの部署がどのタスクの責任を担うのか明確化します。外部委託する場合は、契約などを通じて責任範囲を明確にします。
サイバーセキュリティを担当する人材は不足しがちであり、他業務との兼任になることも少なくありません。しかし、経済産業省は専門性を備えた人材が、片手間ではなく責任をもってセキュリティ対策に取り組む必要があるとしています。人材確保と育成の方法について考えてみましょう。
セキュリティ人材は、マネジメントレベルを担う「セキュリティ統括人材」と実務レベルを担う「セキュリティ担当者」の2種類に分けられます。
セキュリティ統括人材は、セキュリティ統括機能に配置され、経営層や実務者・技術者層とのコミュニケーション、関係部門等との調整の中核になる人材です。経済産業省の手引きでは、「情報処理安全確保支援士や、IPA の中核人材育成プログラムの修了生など、セキュリティに関する幅広い知識・スキル・経験を身に着けた人材が担うことが理想的」とされています。俯瞰的にリスク管理と判断ができ、経営者や他部門とのコミュニケーション能力を備え、自社の仕組みを熟知した人材が期待されます。
一方のセキュリティ担当者は、セキュリティの監視や運用を行う実務者・技術者です。ITやセキュリティの基礎的な知識・スキル・経験を備えており、外部ベンダーの評価や自社の業務プロセスへの理解が求められています。
プラス・セキュリティ人材とは、必ずしもセキュリティ対策業務として明示的に位置けられていないものの、対策不十分な場合に問題が生じるような業務を担っている人材です。セキュリティ統括機能にはいなくても、セキュリティ対策への意識を養い必要な知識・スキルを身につける必要があります。
具体的な人材として、以下が挙げられています。
・自社の契約書雛形に盛り込むセキュリティ対策について検討する法務部担当者
・新規事業戦略立案時にサイバー関連の脅威への対策を検討する事業部の企画担当者
・自社の DX 展開におけるサイバーセキュリティ上のリスクアセスメントを行う、DX 推進部門の担当者
このように、デジタル技術に関連した業務を担当する人材であれば、プラス・セキュリティ人材に該当する可能性を持っています。
人材育成のために、教育プログラムや試験・資格の活用が考えられます。手引きでも、内閣サイバーセキュリティセンター(NISC)のポータルサイトに記載されたプログラム、IPAの情報処理安全確保支援士・セキュリティマネジメント試験のような試験が紹介されています。これらを活用することで、効果的に求められる知識を身につけることができるでしょう。
それ以前に、必要な知識やスキルを概観することが大切です。IPAの定めたITSS+(新たなITスキル標準)のセキュリティ領域では、以下のようなセキュリティ関連知識とスキルが一覧で整理されています。
こちらを参考に必要な知識・スキルを特定したうえで、試験・資格や教育プログラムを活用することで人材育成につながると考えられます。
サイバーセキュリティの知識やスキルを持つ人材は不足しており、体制構築や人材確保は容易ではありません。「具体的にどうすればいいのか」とアクションに踏み出せない企業も多い可能性もあり、今回ご紹介した手引きはこのような企業関係者にとって役立つ内容となっているはずです。関連業務に携わる担当者は、ぜひ一読をおすすめします。
【関連】連載:DXにおけるDevSecOpsとは?「米・国防総省はどのようにしてKubernetesとIstioへの移行を果たしたか?」「DevSecOps Days Tokyo」レポート①
【関連】DX推進に必要となる「プライバシーガバナンス」の意義と取り組み内容
(参考)
経済産業省・情報処理推進機構「サイバーセキュリティ経営ガイドラインVer 2.0」
経済産業省・情報処理推進機構「サイバーセキュリティ経営ガイドライン Ver2.0 付録 F サイバーセキュリティ体制構築・人材確保の手引き ~ ユーザー企業におけるサイバーセキュリティ対策のための組織づくりと従事する人材の育成 ~ 第1版」
あなたにオススメの記事
2023.12.01
生成AI(ジェネレーティブAI)とは?ChatGPTとの違いや仕組み・種類・活用事例
2023.09.21
DX(デジタルトランスフォーメーション)とは?今さら聞けない意味・定義を分かりやすく解説【2024年最新】
2023.11.24
【現役社員が解説】データサイエンティストとは?仕事内容やAI・DX時代に必要なスキル
2023.09.08
DX事例26選:6つの業界別に紹介~有名企業はどんなDXをやっている?~【2024年最新版】
2023.08.23
LLM(大規模言語モデル)とは?生成AIとの違いや活用事例・課題
2024.03.22
生成AIの評価指標・ベンチマークとそれらに関連する問題点や限界を解説