サイバーセキュリティとリスク管理との関係性

2025/01/20

DX進展の加速化を背景に重要性が増しているサイバーセキュリティですが、いつでもどこでも情報にアクセスできるなど、利便性の向上とともに、サイバーリスクはますます高まっています。

サイバーセキュリティとは
デジタルデータの窃盗や改ざんなど、不正アクセスやコンピュータウイルスによる情報漏えいやシステム停止等のサイバー攻撃を防ぐ対策です。このようなサイバー攻撃は、企業経営に重大な被害を与えうる危険性が高い脅威です。デジタル化が加速化している近年、この脅威の対策であるサイバーセキュリティは、経営上、必要不可欠な取り組みとなっています。

リスクマネジメントの必要性とサイバーセキュリティとの関係性
サイバーセキュリティに対応していくには、不確実なリスクを組織的に管理し、損失を回避・低減させるリスクマネジメントという取り組みが必要不可欠です。リスクマネジメントにより、リスクを予見し、事前に対策を講じることで、リスクを最小限に押さえることが可能です。

サイバーセキュリティにおける経営者が認識すべき3原則
経済産業省のサイバーセキュリティ経営ガイドラインでは、経営者が意識すべき原則として、次の3つを挙げています。

1. 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
2. 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
3. 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要

サイバーセキュリティ経営の重要10項目
サイバーセキュリティ経営ガイドラインでは、経営者がCISO（最高情報セキュリティ）に指示する重要10項目を挙げています。

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源（予算、人材等）確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに対応するための仕組みの構築
6. サイバーセキュリティ対策における PDCA サイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

この10項目は、まず方針を社内外に周知し、サイバーセキュリティ対策を講じるためのサイバーセキュリティリスク管理体制を構築することとしています。この管理体制に必要な予算、人材等の資源を確保し、仕組みの構築やPDCAサイクルの実施、リスク管理をしていくことで、サイバーセキュリティリスク管理体制を整備していくのです。