プラクティス3-1　サイバーセキュリティ対策のための、予算の確保

背景

　プラクティス1-1に記載した従業員数1,000名規模の小売業であるA社では、経営会議での報告事項に「他社のサイバー被害事例」を追加し、自社での発生可能性と必要な追加対策を報告している。

　情報システム部の部長は、必要な対策費用を継続的に確保するため、経営会議でサイバーセキュリティ対策の実施状況を報告すべきと考えた。具体的には、サイバーセキュリティ対策の現状と、未対応だが必要な対策について優先度、概算費用および対策を実施しなかった場合のインシデント発生可能性を合わせて報告することにした。

A社の実践のステップ

　情報システム部長が実践したステップは下記の2点である。
①未対応の対策について、他社のサイバー被害事例を元に、自社でのインシデント発生可能性を見積もり、必要な追加対策とその費用概算を検討する
②必要な追加対策、優先度と概算費用を経営会議へ報告し、対応時期を検討する

A社の実践内容

　情報システム部長はプラクティス1-1と合わせて、経営層に対しては必要な対策を継続的に説明することが重要と考えている。そのため、自社でもインシデントが発生する可能性はあるが予算確保が出来ていない対策についても、繰り返し対応優先度と概算費用を報告するプロセスとした。