受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
セキュリティ対策にかかる支出をやむを得ない費用とするのではなく、経営のために必要な投資と位置づけ、自発的にセキュリティ対策に取り組むことが重要です。DXの推進にあたり、生成 AIおよびIoTなどのデジタル技術を積極的に取り入れる中、安全性が高い品質の製品やサービスを実現していく取組は、企業価値や競争力の向上につながります。そのため、DXの推進とセキュリティ対策の強化の両方に取り組むことが大切です。
セキュリティ対策を行うにあたって、以下の基本的認識や留意事項を理解し、自社の現状のIT活用状況や、セキュリティ対策の取組レベルに応じた対策を行うことが大切です。
| 2つの基本的認識 |
| <①挑戦>
サイバーセキュリティは、利益を生み出し、ビジネスモデルを革新するものであり、新しい製品やサービスを創造するための戦略の一環として考えていく必要がある。 |
| <②責任>
すべてがつながる社会において、サイバーセキュリティに取り組むことは社会的な要求・要請であり、自社のみならず社会全体の発展にも寄与することになる。 |
| 3つの留意事項 |
| <①情報発信による社会的評価の向上>
⚫︎ セキュリティ対策を、仕方なくやるものではなく、企業価値を高め、品質向上に有効な経営基盤の1つとして位置づけることが必要。 ⚫︎ サイバーセキュリティに関する取組や方針を情報発信することによって、関係者の理解を深め、社会的評価を高めることができる。 |
| <②リスクの一項目としてのサイバーセキュリティ>
⚫︎ 提供する機能やサービスを全うする(機能保証)という観点から、リスクの一項目としてのサイバーセキュリティの視点も踏まえ、リスクを分析し、総合的に判断。 ⚫︎ 経営層のリーダーシップが必要。 |
| <③サプライチェーン全体でのサイバーセキュリティの確保>
⚫︎ サプライチェーンでつながるどこかの企業のセキュリティ対策が不十分だと、そこから自社の重要情報が流出してしまうなどの問題が起きる可能性がある。そのため、サプライチェーン全体で一定レベルのサイバーセキュリティの確保が必要。 ⚫︎ 一企業のみでのセキュリティ対策には限界があるため、関係者間での情報共有活動への参加などが必要。 |
図7.ITの活用またはサイバーセキュリティ対策の取組み状況に応じた分類と対策
(出典)NCO「企業経営のためのサイバーセキュリティの考え方の策定について」をもとに作成
企業のIT活用状況、セキュリティ対策の取組のレベルに応じた、実施すべきセキュリティ対策について説明します。企業のIT活⽤状況および、セキュリティ対策の意識や実施レベルは、以下の6つに分類できます。「理想的」な状態が一番よく、この状態を実現していくためには、自社が置かれているレベルに応じたセキュリティ対策を進めることが重要です。必要なセキュリティ対策の一例を「もっと積極的」、「無駄な投資」、「危険」に該当する分類ごとに紹介します。
| レベル | 分類 | 概要・対策 |
| 理想的に | 1 | ITの利活用を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的にITによる革新と高いレベルのセキュリティに挑戦する企業 |
| もっと積極的に | 2 | IT・サイバーセキュリティの重要性は理解しているものの、積極的な事業戦略としての組み込みはできていない企業 |
| 対策:ITを積極的に活用してビジネスの展開を目指すことが重要であり、攻めのIT投資に関する取組を行うことです。 | ||
| 無駄な投資 | 3 | 過剰なセキュリティ意識により、ITの利活用を著しく制限し、競争力強化に活用させていない企業 |
| 対策:リスクを再評価して、サイバーセキュリティ対策が過剰になっている部分については見直しを行うことが必要です。 | ||
| 危険 | 4 | サイバーセキュリティ対策の必要性は理解しているが、必要十分なセキュリティ対策ができていないにもかかわらず、ITの利活用を進めている企業 |
| 対策:情報セキュリティポリシーの策定と実践が必要であり、まずはサイバー攻撃を受けた時のための緊急時対応用マニュアルを作成すべきです。 | ||
| 5 | サイバーセキュリティの必要性を理解していない企業や、自らセキュリティ対策を行う上で事業上のリソースの制約が大きい企業 | |
| 対策:コストがあまりかからない最低限のセキュリティ対策から実施することが重要であり、例えば「情報セキュリティ5か条」の対策を行うべきです。 | ||
| 対象外 | 6 | ITを利用していない企業 |
図8 ITの活用またはサイバーセキュリティ対策の取組状況に応じた分類と対策
(出典)東京都「ITおよびサイバーセキュリティに関する組織の視点6分類」をもとに作成
業務や製品・サービスのデジタル化が進む中、サイバーセキュリティの確保は企業の価値に直結する重要な要素となっています。このため、DXとサイバーセキュリティ確保に向けた取組を同時に推進すること(DX with Cybersecurity)が不可欠になっています。しかしながら、中小企業がDX with Cybersecurityを推進するにあたり、人材や予算などのリソース不足などさまざまな課題が存在しています。これらの課題に対処するため、国が実施している施策の一部について説明します。
| 経営層の意識改革 |
| 【課題】経営層が主体性を持ってDXとセキュリティ対策に取り組むためには、セキュリティの専門家とのコミュニケーションが重要
【施策】経営者がITやセキュリティに関する専門知識を持っていない場合でも、セキュリティの専門家と協力し、「プラス・セキュリティ」知識を習得する環境を整備 |
| 地域・中小企業におけるDX with Cybersecurityの推進 |
| 【課題】中小企業は、セキュリティ対策に予算を割くことの必要性を理解する
【施策】中小企業が利用しやすい安価かつ効果的なセキュリティサービス・保険の普及など、中小企業向けセキュリティ施策を推進 |
| 新たな価値創出を支えるサプライチェーンなどの信頼性確保に向けた基盤づくり |
| サプライチェーンの信頼性確保
【課題】サイバー攻撃の起点となりうる箇所の拡大に伴う、リスク管理が重要 【施策】産業分野別、または産業横断的なガイドラインの策定や活用促進を通じて、産業界におけるセキュリティ対策の具体化・実装を促進 データ流通の信頼性確保 【課題】データの真正性や流通基盤の信頼性を確保することが重要 【施策】データマネジメントの定義、送信元のなりすましやデータの改ざんなどを防止する仕組みを整備 セキュリティ製品・サービスの信頼性確保 【課題】市場において提供されるセキュリティ製品・サービスが信頼できるか、客観的な評価が必要 【施策】一定の基準を満たすセキュリティサービスの審査・登録する仕組みを整備 先端技術・イノベーションの社会的実装 【課題】デジタル化の進展に伴い、効率的なセキュリティ対策が必要 【施策】研究機関の知識や技術を民間企業が活用しやすい環境の整備や、企業が社外の知識や技術を取り入れ、組織の改革(セキュリティ対策の強化など)を進められる環境の整備を推進 |
| 施策の理解のため参考となる文献(参考文献) | |
| 目的や所属・役割から選ぶ施策一覧 | https://security-portal.cyber.go.jp/curriculum/ |