企業における情報セキュリティ体制

 横行するサイバー攻撃。その対応は企業にとっての課題であり、信用に関わる重要な問題でもあります。では、何から手をつければ良いのでしょうか。

 今回はそういったサイバー攻撃に対応する体制に関する基本的知識をご紹介致します。

1 人材を育成しましょう。

 情報セキュリティ対策を実施するにはまず、それを統括する人材を選ぶ必要があります。CISO(最高情報セキュリティ責任者)という役職を選定致します。

 ITのセキュリティだけでなく、企業の情報資産の管理を統括する役員です。しかし選定するにしてもそういった人材がなかなかいないというのが現状です。

 ある調査では、CISOを実際に役員が努めている企業は4割にも満たず、課長級以下の従業員がその役職を務めている割合は12.5%にものぼっています。まずは情報セキュリティに長けた人材の育成が急務でしょう。

2 情報セキュリティ委員会を設置しましょう。

 実際に情報漏えい等の事故が発生した際に、企業として早急に対応できるように情報セキュリティ委員会を設置しましょう。あくまでも例ですが、CISOを委員長とし、その他委員は各部署の部長で構成する方法が考えられます。

3 インシデント発生時の対応方法を策定しましょう。

 実際にサイバー攻撃を受けたり、そのおそれがある場合にきちんとした行動指針がなければ当該従業員もどうすればよいか分からず、結果的に被害が拡大してしまう可能性があります。

 そのようなことを未然に防ぐためにも流動的に事態に対応できるように対応方法を策定し、従業員に周知する必要があります。
 
 一例としましては、インシデントが発生した場合には早急に部長に報告し、被害拡大防止措置をその従業員に指示します。

 そして報告を受けた部長はインシデントが発生したことをCISOに報告し、情報セキュリティ委員会を早急に開き、今後の対応を検討するという一連の流れが考えられます。
 
 なにより重要なことはインシデントが発生した場合にはすぐに報告をすることです。叱責されるかもしれないから、このまま言わずになかったことにしようというような考えを持ってはいけません。

 先ほども説明しましたが、報告の早さが、その後の被害の大小を大きく左右します。実際にそういった場面に遭遇した場合にはすぐに報告するよう従業員に徹底させるのも企業の役目です。

4 まとめ

 大まかにではございますが、サイバー攻撃に対応するための組織について基本的知識をご説明しました。ただ組織編制のための人材育成には非常に費用も時間もかかります。

 ですので、まずはインシデントが発生した場合に報告がなされる体制づくりを進めることがなによりも重要です。それがお客様ひいては自分たち企業を守ることにも繋がります。

 我々は、情報が漏洩した事後の対策としてサイバー保険をご紹介しています。是非、事前の対策だけではなく事後の対策も行いましょう。どの企業にも起こりうることです。

サイバー攻撃に対する必要な備えは大きく2つ
1.サイバー攻撃を受けないための対策
2.サイバー攻撃を受けた後の対策

詳しくはこちらのサイバー保険の専用ページをご覧ください。
サイバー保険をご検討中の方へ
「安心」で「快適」な「未来」をお客様とともに創造します!
・サイバー保険が気になっている
・保険料はどのくらいなのか
・サイバー保険でどこまで補償できるのか

上記に関することでご相談・ご質問等ございましたら、お気軽に弊社までお問い合わせください。