【ニュース】中小企業のセキュリティ対策に支援策、10団体が共同実施
【ニュース】「セキュリティができる会社とできない会社に分かれる理由」
「セキュリティができる会社とできない会社に分かれる理由」
http://www.itmedia.co.jp/enterprise/articles/1701/13/news010.html
啓発活動を行う側で意識を共有しておいたほうがいいと思われる内容です。
経営者の意識は、ますます二極化されていくと思われますが、TVや新聞報道などで様々な形でサイバーセキュリティの脅威と被害事例が報道されているにも関わらず、対岸の火事だとか、セキュリティ対策のお金がないと言っている経営者は、一度危うい目に遭わないとわからないのでしょうか。
~~~以下、記事の抜粋~~~
●「ある一面」「局所的」な防御策では、別の局面での穴を空けることができれば、それで攻撃の目的を成し遂げられる。防御側には全方位での対策が求められる。
・個別具体的な対応は、それぞれの企業の環境やカルチャー、ネット環境、システム構成、組織、経営側の認識などの要素によって違うが、大よそ求められる取り組みは同じ。
●2017年に見直すべきセキュリティ対策の内容とは?
・情報セキュリティに投入するお金は、「経費」ではなく「戦略的投資」と考えて事業計画を構築してほしい。
・いまや情報セキュリティを考慮せず事業を計画することは、あり得ない。
・経営者には「安心・安全」を保持するために必要な金額をできだけ抑えるというさじ加減が求められる。
・CSIRTの設置が普及してきたが、NISCなどが2012年に、「情報セキュリティ対策のための統一基準群」として記載したのが大きなきっかけとなった
・「攻撃対象になりづらい」体制にしておくことが必要。万一攻撃されても被害を極小化、無害化することが重要。⇒そこで効果的なのがCSIRT。
・最も改善すべきは経営者であり、経営者はその事実を認めないといけない。
●2017年は情報セキュリティを理解する経営者と理解しない(できない)経営者に、二極化していくだろう。
重要インフラ・大企業向けサイバーセキュリティ対策
●重要インフラの情報セキュリティ対策に係る第3次行動計画の見直しに向けたロードマップ(案)【NISC】
●サイバーセキュリティ経営ガイドライン【2016年12月METI】
- サイバーセキュリティ経営ガイドラインVer 1.1【2016年12月METI】
- サイバーセキュリティ経営ガイドライン Ver1.1(Ver1.0との差分)【2016年12月METI】(PDF形式)
- サイバーセキュリティ経営ガイドラインVer 1.1付録B-2 技術対策の例【2016年12月METI】
●サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA】
政府機関等向けサイバーセキュリティ対策
■NISC第9回会合(持ち回り開催)【平成28年8月31日NISC】
- サイバーセキュリティ2016
- 政府機関の情報セキュリティ対策のための統一規範
- 政府機関等の情報セキュリティ対策の運用等に関する指針
- 政府機関の情報セキュリティ対策のための統一基準(平成28年度版)
- サイバーセキュリティ政策の評価に係る基本方針
【ニュース】サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)の公開
http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf
サイバーセキュリティ経営ガイドラインの改訂版(Ver 1.1)が12月8日付けで、METIのWebサイトで公開されました。
特にVer1.0との差分資料は、変更履歴がわかる形で掲載されており、政府としての現状認識、対策、用語の使い方等の見直しの方向性がわかるので、変更履歴の部分だけでも一読の価値があると思います。
■サイバーセキュリティ経営ガイドライン【2016年12月METI】
http://www.meti.go.jp/policy/netsecurity/mng_guide.html
- サイバーセキュリティ経営ガイドラインVer 1.1【2016年12月METI】 http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf
- サイバーセキュリティ経営ガイドライン Ver1.1(Ver1.0との差分)【2016年12月METI】(PDF形式) http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1_diff.pdf
- サイバーセキュリティ経営ガイドラインVer 1.1付録B-2 技術対策の例【2016年12月METI】 http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_app_B-2.pdf
■サイバーセキュリティ経営ガイドライン解説書【2016年12月IPA】
http://www.ipa.go.jp/security/economics/csmgl-kaisetsusho.html
- 解説書:サイバーセキュリティ経営ガイドライン解説書(PDF:3.7MB)
- http://www.ipa.go.jp/files/000056148.pdf
- 別添 :被害事例集(Excel:78.9KB)
- http://www.ipa.go.jp/files/000056149.xlsx
【ニュース】過少と過剰で揺れるセキュリティ対策、求められる「原価」の発想(2016/11/24 日経コンピュータ)
http://itpro.nikkeibp.co.jp/atcl/column/14/531236/112100070/
セキュリティ関連も含めたシステムの費用は、会計上もデジタルビジネスにおける原価となるが、「セキュリティは重要」と言われるわりには、企業のセキュリティ関連投資が進まない企業と、デジタルビジネスなどの取り組みに支障をきたすほどセキュリティ対策を厳格に行う企業の両極に分かれている。
「セキュリティはビジネスにとっての原価」として、会計上はセキュリティ対策費が原価に計上されたのに、中小企業の経営者は、その原価の費用対効果を認識せずに、過小もしくは過大なセキュリティ対策投資をしていることに関して、両極のそれぞれの企業実態に応じた意識改革の啓発活動が必要ではないでしょうか。
各種ガイドラインでの対策ポイントの抜粋
各種ガイドラインでの対策ポイントの抜粋
