プラクティス4-2 『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告
従業員数500名規模で衣料小売業を営むG社は、10年前の創業以来、大量仕入れのコストメリット拡大等の観点から同業企業の買収・統合を繰り返して成長してきた。店舗で用いる情報システムは将来的な統合を目指しつつ、一部の店舗においては旧社のシステム及び運用体制をそのまま継続している。
昨年、G社の仕入れ用のシステムがランサムウェアに感染し、システムそのものは再インストールで復旧できたものの発注内容の復元ができず、アクセスログ等をもとに仕入れ先に対してお詫びとともに発注内容の確認をお願いせざるを得なかった。G社の社長はこの事故を受け、再発防止には自社の情報システムの管理体制を見直す必要があると感じたものの、何を拠り所にすればよいのかわからず地元の社長仲間に相談したところ、「サイバーセキュリティ経営ガイドライン」(以下、「経営ガイドライン」)の指示事項を参考にしてはどうかとのアドバイスを受けた。社長はまず自社で同ガイドラインの指示事項をどの程度実践できているかを把握したいと考え、同社のIT部長(セキュリティ担当役員を兼務)に調査を指示した。
G社の実践のステップ
経営ガイドラインの実践状況の把握に関して、G社のIT部長が実践したステップは下記3点である。
①経営ガイドラインが定める事項の実践状況を把握するためのツールの選定
②ツールを用いた自社における経営ガイドラインの指示事項の実践に関する実態のチェック
③分析結果のとりまとめと社長への報告
G社の実践内容
社長から指示を受けたIT部長はまずセキュリティサービス事業者に自社の重要な情報システムを対象とする脆弱性診断を委託し、その結果をもとにランサムウェア感染の再発可能性がある箇所に対策を施した。 続いて自社のサイバーセキュリティ対策に関して経営ガイドラインの指示事項の実践状況を把握するための手段について検討し、結果としてIPAから公開されている「サイバーセキュリティ経営可視化ツール」(以下、「可視化ツール」)を利用することにした。同ツールを選択した理由は次の3点である。
- 実践状況に関するチェック項目の構成と経営ガイドラインの指示事項との対応関係が明確である
- 国内企業の業種別平均値と自社評価結果の数値での比較が可能である
- 無料で利用できる
可視化ツールでは、次表の要領で組織のセキュリティ成熟度を表す選択肢により評価を行っている。このうち、担当者により判断がぶれると見込まれるチェック項目について、G社では下表に記載のような補足を付加した上で、IT部長から経営者や各担当者(旧社システム担当を含む)に回答を依頼した。
表1 可視化ツールのチェック項目例
IT部長は可視化ツールを用いて下図のような評価結果を得て、G社の社長に報告した。社長は結果を確認した後、以下の2点についてIT部長に指示を行った。
- 自社の評価結果のうち、小売業の平均から劣後している項目の原因と引き上げのための計画立案
- 旧社のシステムを用いている店舗の結果のうち、当社システムより評価の高い項目について、旧社の取組で優れているものは社内で共有し、評価の低い項目については当社平均まで底上げを図る
- グループ企業や取引先の担当者に可視化ツールを紹介し、自社と同様の活用を働きかける
その後、IT部長は全店舗のシステム共通化において、可視化ツールのチェック項目をもと達成すべき目標値と現状とのギャップを社長に示し、実態の改善に必要なリソース(要員、予算)の割当を受けた。
図1 可視化ツールのチェック状況の評価結果