ニュース

セキュリティ事故が起こる前にトップ主導の体制作りを。経済産業省「サイバーセキュリティ体制構築・人材確保の手引き」を更新

 経済産業省は26日、ユーザー企業におけるサイバーセキュリティ体制作り、および人材の育成に関する資料「サイバーセキュリティ体制構築・人材確保の手引き」第1.1版を公開した。同省のサイトからPDFファイルをダウンロードできる。

 主に大~中堅のユーザー企業の経営者向けで、セキュリティ責任者、一般従業員および人事担当者向けの内容も記載されている。同省が公開する経営者向け「サイバーセキュリティ経営ガイドライン」の重要10項目のうち、サイバーセキュリティリスク管理体制の構築、および資源(予算、人材等)確保の具体的な検討のための資料として公開された。2020年9月公開の第1版から、概要を図解した資料の追加などが行われている。

日本企業のセキュリティ体制作りは「事故発生後」が多い

 冒頭のコラム「セキュリティ体制の構築は事故が起きてからでは遅い」では、日本と米国、シンガポールの企業におけるセキュリティ施策を始めたきっかけが紹介されている。米国およびシンガポールでは「経営層のトップダウン指示」がセキュリティ施策を始めたきっかけの第1位で50%を超えているのに対し、日本では「自社でのセキュリティインシデント」が約33%で1位。事故が発生して大きな損害を出してしまう前でなく、その前にトップダウンでセキュリティ体制を作ることの重要性を示唆している。

日本、米国、シンガポール企業のセキュリティ施策を始めたきっかけの比較表(「サイバーセキュリティ体制構築・人材確保の手引き」第1.1版より)

自社の事情に合った「セキュリティ統括機能」を設置する

 本資料の内容は、体制の構築と、人材の確保・育成の2パートに大きく分かれる。体制の構築に関しては、トップ主導によって組織横断的な「セキュリティ統括機能」の設置が有効であるとする。

 ただし、セキュリティ統括機能は、関連業務を一括して担うことが目的ではない。部門ごとに対策したほうが効果的であればそれらを支援し、トップの意思決定を専門的な知見から補佐する。企業により適した位置付けや形態はさまざまであるとして、複数のパターンを紹介している。あわせて、関連タスクを担う部門や関係会社との連携についても説き、複数業種における組織構成の例を挙げている。

専門人材に頼りきらない「プラス・セキュリティ」推進を

 人材の確保・育成に関しては、「セキュリティ人材」の要件をまず定義。セキュリティ体制内でセキュリティ対策を主たる目的とする業務や役割を担う人材を「セキュリティ人材」とし、それ以外の周辺分野を担う人材を「プラス・セキュリティ人材」と定義している。

 中でも、セキュリティ統括機能に配置され、経営者や実務者、技術者との調整の中核となる人材を「セキュリティ統括人材」と定義。求められるスキルや、人材確保のポイントを整理したうえで、セキュリティ統括人材1人が社内のセキュリティ全てを担うことは、個人への依存が大きすぎて危険(退職や体調不良の際に体制が崩壊しかねない)と解説する。

セキュリティ人材に対応する分野(「サイバーセキュリティ体制構築・人材確保の手引き」第1.1版より)

 セキュリティ人材ないし統括人材に全てを依存する代わりに、一般の社員ひとりひとりがプラス・セキュリティ人材であるべく取り組むべきとしている。法務や企画、開発、運用などセキュリティリスクが生じる可能性がある業務全般に従事する社員において、必要かつ十分なセキュリティ対策を実現できる能力を身に付けることが重要であるとする。

プラス・セキュリティに対応する分野(「サイバーセキュリティ体制構築・人材確保の手引き」第1.1版より)

 資料末尾では、セキュリティ人材の育成やプラス・セキュリティのための教育に役立つプログラムや資格試験、参考資料などが紹介されている。

第1.1番で追加された概要の図(「サイバーセキュリティ体制構築・人材確保の手引き」第1.1版概要より)