セキュリティ対策はコストではなく投資【セキュリティ対策の投資効果がわかる仕組み作りが必要】

戦略・策略のイラスト(男性)

毎日のように個人情報漏洩やサイバー攻撃などセキュリティの話題に事欠かなくなっています。

セキュリティ対策と聞くと、収益をあげる戦略のベクトルではなく、どちらかというと後ろ向きな対策のイメージですよね。

サイバー攻撃が避けられない現状においては、何とかセキュリティ対策にもスポットライトを浴びさせ、効果が上がれば称賛されるような仕組み作りができないでしょうかという話です。

セキュリティ対策でやること

企業経営においてセキュリティ対策をどの程度実施していくのか、経営者による戦略という面で、経済産業省で公開している「サイバーセキュリティ経営ガイドライン」が参考になると思います。2015年に初版が公開され、最新版は2017年11月が公開されています。 

www.meti.go.jp

具体的には、

サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。

とあります。

この資料の付録Cとして「インシデント発生時に組織内で整理しておくべき事項」というものがあり、Excelファイルで提供されていて、確認内容を記入できるようになっています。

内容は、インシデントの種類(情報漏洩、ウィルス感染、不正アクセス、DDoS)ごとに初動対応、原因調査、事後対策の各フェーズで把握すべき事項であり、インシデント発生時に備え、事前に役割分担を決めておくなどしておくといいと思います。

セキュリティ対策しないと収益低下?

興味深いのが、セキュリティ対策ではなく「セキュリティ投資」と捉えていることです。

「セキュリティ投資は事業継続性の確保やサイバー攻撃に対する防衛力の向上にとどまるものではなく、ITを利活用して企業の収益を生み出す上でも重要な要素となる」

また、下請け会社など委託先も含めたセキュリティ対策が必要としています。これについては、最近の受注条件で挙げている案件も増加傾向であり、セキュリティ投資が直接収益に結びついてくることを示していると思われます。

Ⅱ.経理者が認識すべき3原則

(2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要(自社のサイバーセキュリティ対策にとどまらず、サプライチェーンのビジネスパートナーや委託先も含めた総合的なサイバーセキュリティ対策を実施すべきである。) 

セキュリティ対策の投資効果の見える化

企業の経営戦略としてセキュリティ投資を積極的に実施していくことが望ましいと経営者が認識できたなら、その投資効果も積極的に公開していくべきです。

セキュリティ事故の増加傾向は今後も変わらないでしょう。これに伴いセキュリティ事故を起こさない企業に対するマインド・評価が他社差別化となってブランド競争力を上げていくと思います。

また、社内ではセキュリティ対策に全社的に取り組む体制として、客観的に評価基準を設けて、上位達成した人は表彰するなど、競争意識を醸成することも有効かなと思います。

賞金を獲得した人のイラスト(男性)