情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス2-1 サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築

プラクティス2-1 サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築

公開日:2026年4月28日

背景

従業員数1,200名規模の流通業であるD社では、情報保護の観点からコンプライアンス部がセキュリティリスクを管理しているが、情報システムに対する技術的な実装が多いサイバーセキュリティ対策は、暗黙のうちにIT統括部が担当している。

IT統括部のみでサイバーセキュリティ対策全般を推進することは困難であると考えたIT統括部長は、コンプライアンス部長、またコンプライアンス担当役員でもあるCISOと相談の上、サイバーセキュリティ対策を推進するための組織横断型の委員会を立ち上げた。また、委員会には自社業務の統括部門だけでなく、子会社のコンプライアンスを担当する執行役員を招集し、組織全体のサイバーセキュリティリスクを管理することにした。

D社の実践のステップ

IT統括部長が実践したステップは下記の3点である。

  1. グループ子会社含め、組織のサイバーセキュリティに関係する部門・担当者を選定する
  2. 委員会の役割や招集した部門・担当者の責任範囲を合意する
  3. 委員会の運営を通じてサイバーセキュリティリスク管理、サイバーセキュリティ対策実施を推進する

D社の実践内容

上記のステップに則り、D社はサイバーセキュリティ委員会を立ち上げ、公開資料(注釈)を参考に自社で具備すべき役割を定義した。(役割に応じた人材育成は“プラクティス3-2”参照)

  1. 注釈
    サイバーセキュリティリスク管理体制の構築に向けては、以下の資料も参考にできる。
  2. サイバーセキュリティ経営ガイドライン付録F『サイバーセキュリティ体制構築・人材確保の手引き』
  3. 日本セキュリティオペレーション事業者協議会(ISOG-J):セキュリティ対応組織(SOC/CSIRT)の教科書
  • 図2-2.1 D社のサイバーセキュリティ委員会のイメージ
図2-2.1 D社のサイバーセキュリティ委員会のイメージ(テキスト版)

コンプライアンス担当役員(CISO)の下に以下の組織があります。

  • コンプライアンス部
  • IT統括部
  • 業務統括部
  • 子会社執行役員
  • 社内教育

サイバーセキュリティ委員会の主な役割は以下の通りです。

  • (平時)
    • セキュリティポリシー主管
    • サイバーセキュリティ対策の企画・推進
    • サイバーセキュリティ関連情報の収集/分析
    • 社内教育
  • (有事)
    • インシデント対応の統括
    • 社内部署等の連絡窓口、等
表2-2.1 D社の役割分担の例
コンプライアンス部
-委員会事務局
-セキュリティリスクの管理
-従業員教育
-社内のインシデント報告の窓口、インシデント管理
IT統括部
-技術的なサイバーセキュリティ対策の企画
-業務基盤の運用
-脆弱性や脅威情報の収集
業務統括部
-倉庫管理業務におけるセキュリティ施策の推進
-組織間の連絡窓口
子会社執行役員
-グループ共通的なセキュリティ施策の推進
-会社間の連絡窓口
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開