前述したデジタルビジネスとそのリスクの備えとして、企業や組織は「人材」「統制」「サイバー」の3つの手を打つべきだという。自社の現状を理解してそれに見合う対策を検討しつつ、セキュリティリーダーを中心とした人材重視の取り組みを優先すべきであるとしている。
人材重視の取り組みを進めるには、まずIT予算におけるセキュリティ投資の現状を整理する。従来のセキュリティ費用は製品やサービスが中心だったが、これを人材中心にシフトさせる必要があるため、まず情報システム部門が中心になって「情報セキュリティ対策」の観点から予算を確保していくという。
そして、企業や組織におけるポジションや権限を有するセキュリティリーダー中心の体制について検討し、サイバー攻撃などのリスクに対して組織として最終的な責任者を果たすリーダーと、リーダーを中心にリスクへ対峙するCSIRTなどの体制を構築していく。
石橋氏は、具体的な行動として(1)自社にセキュリティ専門家がいるかを直ちに調べる、(2)90日以内に自社のセキュリティ予算を集計し、情報システム部門にセキュリティ専門家がいないなら採用を検討する、(3)デジタルビジネス時代に備えて1年以内に取締役会で「サイバー」を議論できる場をつくる――を挙げている。
Copyright © ITmedia, Inc. All Rights Reserved.