English
情報セキュリティ
プラクティス3-1 サイバーセキュリティ対策のための、予算の確保
公開日:2026年4月28日
背景
プラクティス1-1に記載した従業員数1,000名規模の小売業であるA社では、経営会議での報告事項に「他社のサイバー被害事例」を追加し、自社での発生可能性と必要な追加対策を報告している。
情報システム部の部長は、必要な対策費用を継続的に確保するため、経営会議でサイバーセキュリティ対策の実施状況を報告すべきと考えた。具体的には、サイバーセキュリティ対策の現状と、未対応だが必要な対策について優先度、概算費用および対策を実施しなかった場合のインシデント発生可能性を合わせて報告することにした。
A社の実践のステップ
情報システム部長が実践したステップは下記の2点である。
- 未対応の対策について、他社のサイバー被害事例を元に、自社でのインシデント発生可能性を見積もり、必要な追加対策とその費用概算を検討する
- 必要な追加対策、優先度と概算費用を経営会議へ報告し、対応時期を検討する
A社の実践内容
情報システム部長はプラクティス1-1と合わせて、経営層に対しては必要な対策を継続的に説明することが重要と考えている。そのため、自社でもインシデントが発生する可能性はあるが予算確保が出来ていない対策についても、繰り返し対応優先度と概算費用を報告するプロセスとした。
2-3.1 経営会議の報告内容の目次例
- 経営会議報告資料
- 当社に対するサイバー攻撃の状況
- サイバーセキュリティ対策の実施状況
- 他社のサイバー攻撃被害の発生状況
- その他サイバー攻撃のトレンド
|
対策(予算承認済)
|
対策の詳細
|
実施状況
|
|
|---|---|---|---|
|
次世代ファイアウォール導入
|
サンドボックス(アプリケーションの振る舞い制御)機能による入口対策強化。
|
済
|
|
|
拠点間通信のVPN導入
|
本社-工場-データセンター間の通信の暗号化による仮想的な専用線の敷設。
|
済
|
|
|
対策(予算未承認)
|
対策の詳細
|
優先度
|
概算費用
|
|
ネットワーク分離
|
OA環境と倉庫のIPアドレスの体系を分け、必要な通信のみを通過させる施策を実施し、倉庫への感染拡大を予防。
|
高
|
XXX万円
|
|
SIEMの導入
|
セキュリティ関連のログを分析・監視する専用のシステム。攻撃の予兆を検知。
|
中
|
XXX万円
|
更新履歴
-
2026年4月28日
新規公開