メディア

必読だけど無料の「セキュリティ教本」、この3冊(2018年版)セキュリティ強化塾(2/3 ページ)

» 2018年04月17日 10時00分 公開
[キーマンズネット]

一歩先を見据える2冊目「サイバーセキュリティ経営ガイドライン」

 ITは、さまざまなビジネスの現場において利活用が進む一方だ。そして、企業が保有する個人情報や技術情報といった機密情報を狙う攻撃者は後を絶たない。2冊目の教本としてお勧めしたいのが、経済産業省がまとめた「サイバーセキュリティ経営ガイドライン」だ。

 これは、社長や取締役といった経営者であれば「読んでいない」と言ってはならないものだ。だが、ガイドラインに記載されたサイバーセキュリティに対する考え方や心構えといったものは、新社会人であっても確実に役に立つ知識となり得る。

 2017年11月に改定された箇所については、本連載の前号でも詳しく取り上げたので参照してほしい。ここでは、あらためて「3つの原則」を紹介しよう。

  1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  2. 自社はもちろんのこと、ビジネスパートナーや委託先を含めたサプライチェーンに対するセキュリティ対策が必要
  3. 平時および緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

 つまり、セキュリティ対策は経営者がリーダーシップを取って、「経営課題」として進めるべしということだ。情報システム部や従業員がどんなにがんばったとしても、経営層の意識が足りなければセキュリティ対策は進まない。もしも社長に気概が感じられなければ、このガイドラインを印刷して机の上にそっと置いておくべきだ。

 では、新社会人をはじめとする従業員は、このガイドラインをどのように読むべきか。PDFはわずか32ページにすぎないが、「重要10項目」それぞれに「対策を怠った場合のシナリオ」と「対策例」がまとめられている。全項目が直接、自分の行動に直結するものではないが、セキュリティインシデントが発生させた場合、自分が所属する会社に対してどのような不利益が生じるのかが感覚的につかめるようになるだろう。

 重要10項目の1つに「指示5 サイバーセキュリティリスクに対応するための仕組みの構築」とある。これは、攻撃を検知するための体制を整えよという指示だが、新社会人であれば「何かがおかしいと思ったら、上司に必ず報告せよ」と読み替えるといいだろう。

 例えば、自分が使っているPCがいつもと違う挙動になっている、普段みかけない人間がオフィス内にいる、見たことがないデバイスがLANにつながっているなど、違和感を抱くことが重要だ。不審なものを発見したら適切なルートで報告することも、立派な「仕事」の1つだ。報告先が分からなければ、先輩社員や上司に相談すればよい。

Copyright © ITmedia, Inc. All Rights Reserved.

会員登録(無料)

製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。