プラクティス1-1 経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告
背景
従業員数1,000名規模の小売業であるA社では、全社的なリスクや課題を報告する場である経営会議にセキュリティ施策を付議するも、一部の役員からはネガティブな反応があった。 情報システム部の部長は経営層のサイバーセキュリティリスク、例えば『事業の停止』や『金銭の詐取』といったリスクの認識が十分でないと感じていた。
そのため、経営会義で、通常報告する「自社に対するサイバー攻撃の状況」や「対策の実施状況」に 加え、「他社のサイバー被害事例」を報告することを考えた。また、トピック追加後も経営者への報告は 同じフォーマットで続けることとした。
A社の実践のステップ
情報システム部長が実践したステップは下記3点である。
①サイバー攻撃事例等を紹介するWebサイトから他社の業務停止事例等を収集する
②同様の被害が自社で発生する可能性を分析し、追加対策の要否を検討する
③上記の収集・分析・検討結果をCISO等が経営者の参加する経営委員会で定期報告する
A社の実践内容
上記ステップに則り、情報システム部長が収集した事例と自社の追加対策要否をCISO等に説明し、CISOから経営会議に定期報告するプロセスとした。(関連するサイバーセキュリティ対策の予算確保については“プラクティス3-1”を参照)
