経営層に自社のセキュリティ対策状況を客観的に説明するにはどうすればよいのか?(ミニプラクティス)
このプラクティス集を作成するために実施した企業インタビュー調査で得られた「指示6」に関するプラクティスのうち、事例で紹介できなかったものを示します。
ミニプラクティス5 経営層に自社のセキュリティ対策状況を客観的に説明するにはどうすればよいのか?
| 対応するチェック項目 | 6-2:経営者が定期的に、サイバーセキュリティ運用に関する報告を受け、対策を指示している |
| 企業による実践例1 | 自分達で構築し、提供しているサーバ類(サプライチェーンも含む)が外からどう見えるか、そのスコアが継続的に上がっているのかどうか、業界平均と比較してどうかのスコアを外部サービスを用いて常にとるようにしている。「自社が75~80点で、業界平均が73点」などと説明することで、経営陣にも納得してもらいやすい。(教育業) |
| 企業による実践例2 | 経営層に自社グループ全体としてのセキュリティのマネジメントがどのようなレベルに位置付けられているかを報告している。その際に、類似の事業者はこのレベルにいて、世界的な大手先進事業者はこのレベルといった位置付けを表現し、「自社は5年後にはこの程度のレベルに到達することを目標とし、そのためにこのような施策に取り組む」という建て付けで、極力定量的な表現で報告するようにしている。(製造業) |
| 企業による実践例3 | 重要なのは「重大インシデントが発生していないこと」であって、その実現のためにこのような取組を行い、そのスキルや実行力を維持しつつ、事業上の課題を解決しているという説明をしている。従って定量指標は作りにくいのだが、取組の過程で何件の脆弱性診断を実施し、何件の重大な脆弱性を発見して対応した、社内の相談に何件対応したといった実績を報告している。場合により、個人情報の保有件数に500円を乗じて脆弱性を検出する効果の試算を行うこともある。(情報サービス業) |
ミニプラクティス6 セキュリティ対策に関する自己評価の客観性を高めるにはどうすればよいのか?
| 対応するチェック項目 | 6-3:サイバーセキュリティにかかる内部監査、監査役監査、外部監査を踏まえ、サイバーセキュリティ対策を適時見直している |
| 企業による実践例 | 外部評価に頼れない部分は自己評価するしかないが、その際にはできるだけ外部の評価基準(フレームワーク等)を使いながら、同じ基準でスコアが見えるように作っている。(教育業) |
