ニュース
「セキュリティはコストでなく投資」、経産省がガイドラインを改訂
企業や組織でのセキュリティ対策の取り組み事項を記した「サイバーセキュリティ経営ガイドライン」が改訂され、「セキュリティは投資」と明記された。
経済産業省と情報処理推進機構(IPA)は12月8日、企業や組織でのセキュリティ対策の取り組み事項を記した「サイバーセキュリティ経営ガイドライン」の改訂版(Ver 1.1)を発行した。改訂では「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と新たに明記された。
同ガイドラインは、企業や組織の経営者向けにサイバーセキュリティへの取り組みを促す目的で、2015年12月に初版が発行された。経営者が認識すべきとする「3原則」と、経営者が情報セキュリティ担当者に指示すべき「重要10項目」(中小企業向けには7項目)で構成されている。
改定では、「3原則」の中でITがビジネスにとって不可欠であり、サイバー攻撃がリスクとして避けられない状況だとし、「経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である」と明記。初版では「セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい」とされていたが、サイバーセキュリティがコストでなく投資に値するものと認識を促す表現に改められた。
これ以外にも、推奨される対策をより具体的な内容として補足したり、用語を平易な表現に改めたりされている。
併せてIPAは、「サイバーセキュリティ経営ガイドライン解説書」も公開し、企業事例を交えたガイドラインの内容について説明を行っている。
関連記事
最終回 「サイバーセキュリティ経営ガイドライン」で確かめる対策の抜けや漏れ
これまで標的型攻撃対策に役立つ防御方法やツール、組織体制などについて解説してきた。今回はまとめして、それらの取り組みをどのように進めるべきかについて、経産省の「サイバーセキュリティ経営ガイドライン」に照らしながら解説しよう。
IPA、中小企業向けセキュリティガイドを刷新
経営者に分かりやすい内容を追加し、自社のセキュリティ状況を診断できるチェックシートなども付録になっている。
最終回 経営視点で考える「セキュリティ VS 利便性」という命題
セキュリティを強化すればするほど、情報やシステムの利便性が下がると言われます。しかし、企業にとってはどちらも重要な課題です。連載の最後となる今回は、経営者が考えるべきこの命題について解説します。
ここがヘンだよ企業の情報セキュリティ 経営視点で再考する本質
ホットな脅威への対策ばかりがいつも注目を集めるが、本当にそれで良いのだろうか。内部・外部という視点を含めて企業におけるセキュリティ対策の問題点を萩原栄幸氏が指摘する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.