中小企業サイバーセキュリティ対策関連の情報の備忘録

CyberSec diary

サイバーセキュリティ対策として、特に中小企業、個人でも考慮すべき対策にフォーカスした情報の備忘録です。

【ニュース】「セキュリティができる会社とできない会社に分かれる理由」

「セキュリティができる会社とできない会社に分かれる理由」
http://www.itmedia.co.jp/enterprise/articles/1701/13/news010.html

啓発活動を行う側で意識を共有しておいたほうがいいと思われる内容です。

 経営者の意識は、ますます二極化されていくと思われますが、TVや新聞報道などで様々な形でサイバーセキュリティの脅威と被害事例が報道されているにも関わらず、対岸の火事だとか、セキュリティ対策のお金がないと言っている経営者は、一度危うい目に遭わないとわからないのでしょうか。

 ~~~以下、記事の抜粋~~~
●「ある一面」「局所的」な防御策では、別の局面での穴を空けることができれば、それで攻撃の目的を成し遂げられる。防御側には全方位での対策が求められる。
・個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みは同じ。

●2017年に見直すべきセキュリティ対策の内容とは?
・情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしい。
・いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。
・経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。
・CSIRTの設置が普及してきたが、NISCなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった
 ・「攻撃対象になりづらい」体制にしておくことが必要。万一攻撃されても被害を極小化、無害化することが重要。⇒そこで効果的なのがCSIRT。
・最も改善すべきは経営者であり、経営者はその事実を認めないといけない。

●2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。