1. トップ
  2. Action(活動)
  3. 週刊 経団連タイムス
  4. 2019年6月20日 No.3412
  5. サイバーセキュリティ対策の指標を聞く

Action(活動) 週刊 経団連タイムス 2019年6月20日 No.3412 サイバーセキュリティ対策の指標を聞く -サイバーセキュリティに関する懇談会を開催

経団連のサイバーセキュリティに関する懇談会(梶浦敏範座長)は5月29日、東京・大手町の経団連会館でInformation Security Forum(ISF)(注1)の小原浩之代表、日本サイバーセキュリティ・イノベーション委員会(注2)の上杉謙二主任研究員から、サイバーセキュリティ対策の成熟度やサイバーリスクの数値化に関するモデルについて説明を聞いた。概要は次のとおり。

■ ビジネスに寄り添う情報セキュリティの成熟度モデル(小原氏)

サイバーセキュリティはビジネスから独立して存在するわけではなく、実際のビジネスにつながりを持ち、寄り添ったかたちにすることが重要である。成熟度モデルは両者をつなぐ役割を持つ。成熟度モデルを使うことで社内の合意形成が容易になり、セキュリティの投資や進捗状況の確認にもつながる。ISFの成熟度モデルでは、現状評価および他社比較を行った後、社内で目標について合意し、最後に行動計画を策定する。その際、作業を実際に行う従業員は必ずしもセキュリティに精通していないため、通常業務の妨げにならないようビジネスサイクルを考慮する必要がある。

一般的には成熟度が高まることはよいとされているが、社内の環境が変化すると、一時的に成熟度が下がることもあり得る。成熟度は右肩上がりに上がり続けるものではないことを踏まえる必要がある。

■ サイバーリスクの数値化モデルの考え方および成熟度に応じたKPIモデル(上杉氏)

経営層が当事者意識をもってサイバーセキュリティ対策に取り組むためには、経営の共通言語である「金額」を用いて議論する必要がある。そのため、サイバーリスクを金額換算できるようにしたのが「サイバーリスクの数値化モデル」である。このモデルを利用することで、サイバー攻撃があった場合の最大損失額を計算できる。

また、今年4月に公表したサイバーセキュリティのKPIモデルでは、国内外の企業からヒアリングしたKPIを3段階の成熟度と5つの施策に分類し、各社の共通部分を抽出してモデル化した。このKPIモデルは、各企業のサイバーセキュリティ責任者(CISO)が目標設定やパフォーマンス評価において活用することを想定している。

サイバーセキュリティの成熟度は企業のデジタル依存度と比例関係にあるため、成熟度を評価する際は、当該企業の「デジタル依存度」や「DX(デジタルトランスフォーメーション)レベル」などを同時に評価・確認する必要がある。

(注1)Information Security Forum=情報セキュリティとリスク管理に関する指針やツールを作成し、共有する国際的なメンバーシップのNPO。創立30年を迎え、480余の幅広い分野のグローバル企業や機関が参加する

(注2)日本サイバーセキュリティ・イノベーション委員会=デジタル社会を確立するために発足したサイバーセキュリティを専門とする非営利・独立の民間シンクタンク

【産業技術本部】

「2019年6月20日 No.3412」一覧はこちら