【サイバーセキュリティに取り組む組織力】第2回 何を守るのか?|自社のビジネスにおける守るべき資産とリスクの特定
https://www.sfj-next.com/column/2025/11/19/post-341/こんにちは。
前回はセキュリティ対策の出発点が社長の自覚であり、セキュリティ責任者を任命することから始めて、経営資源の投入を判断することである、というお話をしました。それを受けて今回からは任命されたセキュリティ責任者が何をすべきかについてお話します。とは言ってもやるべきことは「守りの方」として確立されているし、シナリオもシンプルなのであまり構えずにリラックスして読んでもらえると嬉しいです。
まず初めに社長が任命したセキュリティ責任者は、その時点で経営(特に社長)との強力なパイプをもっており一定の影響力を担保できているので、自身のミッションを遂行する上でその影響力を適切に行使するべきであるということを認識しておいてほしいです。遠慮や忖度をしていてはガバナンスを効かせて組織全体を守ることはできないので。
ではもう少し具体的にセキュリティ対策にまつわる活動を見て行きましょう。
企業におけるセキュリティ対策の目的はビジネスを守る事なので、セキュリティ責任者は自社のビジネスの特性に基づいて適切な対応をしていく必要があります。下記の具体的なアクションに関して考える際はそのことを念頭に置いてください。
セキュリティチームを組成する
責任者は一人では戦えないので必要な人材を確保します。
セキュリティ対策には様々な専門性が求められるので、チームメンバーを構成する際にもその点を考慮したいです。
社内人材を異動させて獲得するにしても、社外から必要なスキルや経験を持った人材を採用するにしてもいろいろハードルは予想されますが、そこはそれ、社長から命を受けての活動であるという錦の御旗を掲げて抵抗勢力を寄り切ってください。
チームの組成については次回以降で詳しくお話します。
ルールを定めて浸透させる
海路図なしに船が目的地を目指すことはできません。
自社はセキュリティにどう向き合うのか、どういう体制がどういう責任を担うのか、従業員や各職場には何が求められるのかなどを会社のルールとして明文化し社員に浸透させることはセキュリティチームがとるべき第一歩でしょう。
自社が守るべき情報資産とリスクを特定し、守りのベースラインを定義する
ここが最重要です。
“セキュリティ対策の目的は自社のビジネスを守ること”というお話をしましたが、それを噛み砕くと、「自社のビジネス上の重要な情報資産を安全に使える状態に維持すること」に他なりません。
従ってまずは重要な情報資産を特定することから始める必要があります。そのためには何が重要かを決めておかなきゃなりません。
そこで「安全に使える」を分解すると、「許された人だけが、必要な時に、正しい情報にアクセスできる」ということができます。
この概念は
Confidentiality(機密性|許された人だけが)
Integrity(完全性|正しい・改ざんのない)
Availability(可用性|必要な時に)
の頭文字をとって情報資産のCIAと言ったりします。
一般的に情報資産とは端末やネットワークなども含む幅広い概念ですが、CIAの観点で考える際にはデータとシステム(アプリケーション)を中心に考えていいでしょう。
自社のビジネスモデルから導き出される、自社にとってCIA観点で重要な情報資産とは何かを決めてリスト化することが必要です。例えばモノづくり企業であれば、製品の生産から出荷、受発注といったビジネスプロセスが止まると経営インパクトは非常に大きいですよね。このようなケースでは前述のプロセスを司るシステム群、いわゆるSCM(Supply Chain Management)系のシステムの可用性(A)要求は非常に高いものがあります。
またビジネスモデルに関わらず顧客や従業員に関する個人情報は全ての企業で機密性(C)や完全性(I)への要求は高いです。
リスト化ができたら、各重要資産に対してどんな侵害リスクを想定すべきかを推定し、対策を決めます。
例えば前述のSCM系システムの可用性へのリスクとして昨今頻発しているランサムウェアによるアプリケーションデータベースの凍結を想定した場合、対応としてはデータバックアップをイミュータブルな保管場所に置くことや、またバックアップデータから復旧する訓練を定期的に実施することなどを対策として設定するのは良い考えでしょう。
どうでしょうか?
チームを組成して、ルールを決めて、守るべきものを特定して対策を打つ。結構シンプルですよね。
ただしサイバー攻撃は「蟻の一穴」を突いてくるので、セキュリティ対策には一定の網羅性が必要です。前述の例でSCM系システムへのランサムウェア攻撃を想定してバックアップに関する対策を挙げましたが、そもそも不正アクセスを防ぐためにはID管理やネットワークの保護など様々な視点での対策も併せて打つのが一般的です。
ではどうやって対策を網羅的に考えるか。
ここでお役に立つのがお手本、つまり「守りの方」です。
どれほど対策してもサイバー攻撃を100%防ぐことは残念ながら無理だと思います。だからと言って手をこまねいているのではなく、先人の知恵の集大成である「守りの方」に沿って自社に必要な対策を網羅的に考えセキュリティ戦略として整理し、経営と意思疎通し、実施・運用していくのがセキュリティ責任者の仕事です。
次回はこの「守りの方」を活用して自社のセキュリティ戦略を組み立てる流れについて書きたいと思います。
以上
村田 すなお
北海道大学卒業後、デジタルテクノロジーを軸にして国内大手精密機器メーカー2社に勤務。新規拠点立ち上げのためのカナダ赴任や事業加速のためのM&A推進などの経験を経て、2014年以降は執行役員として経営全般に関わる。キャリア後半ではCIOとしてグローバルなIT推進全般を遂行、業務システム、ITインフラ、サイバーセキュリティ、AI、DXなどの戦略立案、企画、設計、運用などを指揮。
お問い合わせはこちら