指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示内容
サイバーセキュリティに関する残存リスクを許容範囲以下に抑制するための方策を検討させ、その実施に必要となる資源(予算、人材等)を確保した上で、具体的な対策に取り組ませる。
全ての役職員に自らの業務遂行にあたってセキュリティを意識させ、それぞれのサイバーセキュリティ対策に関するスキル向上のための人材育成施策を実施させる。
実践に向けたファーストステップ
予算確保の観点では、これまで重点化していなかったサイバーセキュリティ対策のための予算を確保することが望まれる。サイバーセキュリティにおいては、攻撃手法は常に変化し続けているため、継続的な予算の確保が必要である。
人材確保の観点では、自社でサイバーセキュリティ人材を雇用する場合は、役割に応じたセキュリティ教育を継続的に実施する等の育成活動を行うこと、自社でサイバーセキュリティ人材を雇用することが困難な場合は、外部の専門ベンダの活用を検討することが望まれる。
実践する上でのファーストステップとしては、予算確保とサイバーセキュリティ人材の確保それぞれの観点で、下記が考えられる。
- 予算の確保に向けては、必要なサイバーセキュリティ対策を明確にし、経営者に報告の上、対策実施の承認を得る
- 人材等の確保に向けては、専門ベンダの活用も考慮し、自社の要員が最低限保持/獲得すべきサイバーセキュリティ対策に関する知識・スキルを定義する
また、事業部門や管理部門等の担当者についても、業務遂行時の適切な対策実施や専門家との円滑なコミュニケーションに必要な能力を身につけるための「プラス・セキュリティ」の取組も進める。
想定される企業の状況
指示3の実践に向けては下記のような状況や課題が想定されるため、本節ではそれらに 対応した企業の事例をプラクティスとして紹介する。
- サイバーセキュリティ対策の予算を確保したいが、セキュリティ対策は一般的に費用対効果(ROI)が不透明なため、経営者から理解が得られにくい
- システムの開発・運用は外部委託しており、サイバーセキュリティに求められる必要な知識や経験を有する人材を自社で確保する必要が分からない
- サイバーセキュリティに関するリテラシー教育は実施しているが、それだけでは不十分であることに気づいた