　CIO（最高情報責任者）やCISO（最高情報セキュリティ責任者）を設置する企業も増えてきたが、きちんと機能しているかは別問題だ。米国では執行トップのCEOがサイバーセキュリティについても責任を持つという考え方が浸透しているというが、日本ではサイバーセキュリティを経営のピースと捉えられていないのが現実だ。

どうすれば経営層に刺さるのか？

　佐伯さんをはじめNISCでは、経営層の理解を促すさまざまな施策を展開している。22年には、経営層やDXを推進する部門長向けにセキュリティ知識をまとめたプログラム「プラス・セキュリティ知識」のページを立ち上げた。目的や役職別に用意したカリキュラムを通して、必要な知識のアップデートをサポートしている。

　しかしプログラムを用意するだけでは不十分だったと佐伯さんは評価する。忙しい日々を送る経営層に、講座や学習プログラムを受ける時間がない可能性も高い。そこで23年のサイバーセキュリティ月間では、経営層向けの動画コンテンツを拡充して、啓発や理解促進を図る狙いだ。

経営層目線で伝えること

　「経営層と従業員は、考えていることや見ている風景が違います。社会的にサイバーセキュリティが話題になっていることを理解していても、それが直接自社に結び付くとは限りません。自分ごととして捉えられるよう、同じ経営層の方やコンサルタントにアドバイスをもらうなど、経営層目線で刺さる言葉を投げかけるのが有効と考えています」（佐伯さん）

　自社にとってサイバーセキュリティリスクがどう働くかを知っておくのは経営層の責任だ。事業のコアは何で、そこにどのようなリスクがあり、インシデントが起きたらどうするのかを考える必要がある。

NISCとIPAが作成したサイバーセキュリティ対策9か条

　そしてNISCは「サイバーセキュリティは全員参加」というキャッチフレーズを掲げている。情シス部門はもちろん、経営層から事業部門の従業員までそれぞれが置かれている状況で適切なセキュリティ対策に取り組むことが大切だ。23年のサイバーセキュリティ月間では、IPAと共同作成した「サイバーセキュリティ対策9か条」を軸に、企業を含む社会全体でサイバーセキュリティ対策を前に進めようとしている。

ゼロトラストを選ぶ“経営的な意味”ってある？　「やりたいことベース」のセキュリティ対策へ
ゼロトラストは不正アクセスや内部不正に対応できる情報セキュリティ戦略だ。しかし、「攻撃が怖いから」ではなく「こんなビジネスがしたいから」という視点で考えれば、ゼロトラストはテレワークやクラウド活用を実現する基盤であることが見えてくる。
クラウドからの情報漏えい、責任は誰に？　SaaSやPaaSの大前提「責任共有モデル」とは　総務省が解説
クラウドの管理ミスで情報漏えいした――こんなセキュリティ事故の責任は誰にあるのか。クラウドサービスの利用企業が把握すべき大前提「責任共有モデル」を総務省の担当者に聞いた。
相次ぐ漏えい事件、本格的に狙われ出したSaaSベンダー　見過ごされてきた“死角”への対策は
クラウド化の波やコロナ禍の影響により、Webベースの業務アプリケーションが普及したため、悪意を持った第三者にとっては攻撃しやすい状況にある。今回は、最近漏えい事件が相次いでいる「業務アプリ」に焦点を当て、Webセキュリティを解説する。
尼崎事件に見る情報漏えい対策の“いろはのい”　増えている流出ルートは？
尼崎市のUSBメモリ紛失事件で、情報漏えいに再度注目が集まっている今、改めて情報漏えいが起きるルートをおさらいしておこう。情報漏えいには、電子機器の紛失、うっかりミス、退職者によるもの、不正アクセスなどさまざまなルートがある。
中央省庁、サイバー攻撃対策の徹底呼び掛け　経産省、総務省、警察庁、NISC連名で
経済産業省と総務省、警察庁、内閣官房内閣サイバーセキュリティセンターが、サイバー攻撃に関する認識を向上すること、攻撃を早期に検知すること、攻撃検知時の適切な対応などを徹底するよう呼びかけた。