経済産業省の「サイバーセキュリティ経営ガイドライン」

昨年末に公表された経済産業省の「サイバーセキュリティ経営ガイドライン Ver.1.0」。経済産業省公表記事に敏感な経営層や内部監査室から私の部署に対して、何の連絡もなかった。あまり関心がないんだろう、と。もしかして、もう対策済みと思われている?「経営者がサイバーセキュリティのリスクを経営リスクの 1 つとして認識 している」わけがない。私の勤務先のIT投資予算が、他社比較で1/4しかない。セキュリティ投資できる筈が無い。

(参考)
サイバーセキュリティ経営ガイドラインを策定しました(経済産業省)
【特集】経済産業省のガイドラインが明言する「セキュリティは経営課題」(McAfee)
経産省の「サイバーセキュリティ経営ガイドライン」を読み解く(ZDNet)
経産省、経営者向けにサイバー攻撃対策の最低ラインを提示順守すれば保険割引や裁判での免責も(ITPro)

「緊急時だけでなく平時からセキュリティに関する共通理解」についても、私の勤務先の部内でも、意識性レベルが低い。そもそも、勤務が終われば、そのような意識は失われ、サービス残業的な作業をしていない。更に、情報セキュリティ投資レベルが低いため、徹底的な調査ができない。このガイドラインを武器として、予算拡大を狙うか…。

ZDNet記事を読んでいると、「サイバーセキュリティ基本法」たるキーワード。知らなかった、そういうものがあるんですね。平成27年(2015年)9月30日に改正されているものの、未施行?

 

(参考)
「サイバーセキュリティ基本法」が全面施行、NISCは省庁横断の司令塔に(ITPro)
我が国のサイバーセキュリティ推進体制の更なる機能強化に関する方針(サイバーセキュリティ戦略本部)

ん?「サイバー攻撃対策に関する国の責務などを定めた「サイバーセキュリティ基本法」が2015年1月9日に全面施行された。」とある。あくまでも、国家側の法律? 知らないことが多すぎですね、失礼しました。

 

法的拘束力が無いのが、広まりにくい課題かもしれない。ただし、経済産業省から出ている経営ガイドラインという視線から攻めることで、少しでも経営層に情報セキュリティ投資に関して理解を得られるかもしれない。が、やはり、拘束力が無いしなぁ…