写真●経済産業省商務情報政策局情報セキュリティ政策室の瓜生和久室長(写真:古立 康三)
[画像のクリックで拡大表示]
「情報セキュリティで重要なのは、被害に気付いてからの対応だ。適切な対応のためには、経営者まで情報が届き、経営者が判断を下すまでの時間を短くすること。そして経営者がリーダーシップを持つことが欠かせない」。
経済産業省商務情報政策局情報セキュリティ政策室の瓜生和久室長(写真)は2016年3月25日、「サイバーセキュリティ経営ガイドライン」と題し、東京・目黒のウエスティンホテル東京で開催した「イノベーターズ会議」(日経BP社 日経ITイノベーターズ主催)で講演した。
サイバーセキュリティ経営ガイドラインは、経済産業省が2015年12月28日に公表した、経営者がサイバー攻撃から企業を守るための理念や行動を具体的に示した文書だ。CIO(最高情報責任者)やCISO(最高情報セキュリティ責任者)を設置しているような大企業を対象にしている。
本編は「経営者が認識すべき3原則(サイバーセキュリティ経営の3原則)」と「経営者がCISO等に指示をすべき10の重要項目(サイバーセキュリティ経営の重要10項目)」の二つのパートから成っている。瓜生室長は「経営者に最低限、頭に入れておいてほしいことを3原則にまとめた。重要10項目は、3原則をブレークダウンした内容。CISOが実施すべき項目だけでなく、CISOから経営者に情報セキュリティ対策についてアプローチする際に使ってほしい」と話す。
