民間企業への優遇措置も! 政府が進めるサイバーセキュリティ指針とは?!
- 2016/1/18
- セキュリティ
- サイバーセキュリティ
- 民間企業への優遇措置も! 政府が進めるサイバーセキュリティ指針とは?! はコメントを受け付けていません
政府は民間企業が参考にするサイバーセキュリティー指針を、2015年に策定しました(2015年12月28日公表)。この指針では、民間企業は、サイバーセキュリティについて、投資家への情報開示方法を示すほか、企業の組織体制や技術的対策の手法などを明記することにしています。マイナンバーを狙う国内ハッカー集団の各種サイバー攻撃や海外からの企業の技術情報の奪取などを狙うもののほか、最近では、工場内の生産システムを狙って機械類の暴走事故などの脅威も高まっています。危機意識の低い民間企業に対して警鐘を乱打する狙いがあります。
しかし、この指針を報道する記事にしても、なお、切迫した危機意識は感じられません。政府が民企業に指針を発表しなければならないことすらも危機意識の低さを物語っています。サイバー攻撃の被害を受ければ、企業は存亡の危機に立たされるほど致命的な打撃を受ける懸念が出始めています。本来は民間企業自身がそのリスク回避のために諸策を講じなけれならないところですが、その動きがあまりに鈍いために、業を煮やして指針を出すのです。指針を出しても民間企業の危機意識が低ければ実効性は小さくなりますが、それでもないよりはマシなのではないでしょうか。政府の指針に耳を傾けて欲しいです。
情報セキュリティの責任者は、対策を講じられるだけの知識と経験が必要
この指針は内閣サイバーセキュリティセンター(NISC)と経済産業省などが中心となって策定します。企業にとって最も強い発言力をもつのは株主、つまり投資家です。その投資家への「情報開示」を強く促します。この点については米証券取引委員会(SEC)の取り組みを参考にします。企業が公開する有価証券報告書などにサイバーリスクに関する項目を設けるように促しますが、その際にはセキュリティチェックを行わなければなりません。その過程で現在、システムが置かれている危険な状態に気づいてもらい、早急に手を打つように背中を強く押すのが狙いです。
また、「情報セキュリティー対策を統括するCISO(最高情報セキュリティー責任者)の設置を求めるなど組織のあり方を盛り込む」としていますが、これまでのように「肩書」だけを作っても意味がありません。個人情報や機密情報の管理はもちろん、サイバー攻撃が起こった際には対策責任者となれるだけの知識と経験をもった人物がCISO(最高情報セキュリティー責任者)にならなけれいけません。しかし、現実には企業の中には皆無です。社会全体にも適した人材はほとんどいません。
指針を作ればサイバーセキュリティ対策が進行する、と勘違いしてはなりません。
技術面でも言及します。記事では「サイバー攻撃を未然に防ぐ対策の徹底を促す」として、具体策として、「個人情報の入った端末を社内ネットワークにつなげないようにする」など、攻撃を受けても被害が広がらないような体制の構築も求めることにしています。
個人情報保護に関するJAPiCOマークのような体制構築の目標となる「第三者認証」の仕組みも必要になります。その仕組みとは、投資家や取引先などが企業を選択する際に評価基準を提供するものです。これを促進するには、経産省、総務省などの官公庁が発注する場合には、認証をとっている企業が優遇されるような制度を確立し、認証を受けると有利な条件が得られることを明確にすることも重要で、こういった制度改革も政府は検討していくようです。
カテゴリー: