情報セキュリティ(5) 経営者がやるべきこと① 3つの原則
経営者が情報セキュリティにおいてやるべきこととして、3つの原則を説明します。
- 情報セキュリティ対策は経営者のリーダーシップで進める
情報セキュリティは全社の課題として進めるべきです。決してIT担当者に丸投げするべきではありません。現場の従業員が安心して業務に取り組むことができる環境を整えるために、経営者自らがリーダーシップをもって進めるべきなのです。
経営者が情報セキュリティ対策を進めるにおいて、情報セキュリティガバナンスが機能しているかどうかも、問われます。情報セキュリティ方針を定め、方針に基づいた具体的な情報セキュリティ施策を策定し、それが適切に実行されているかを確認する、一連のプロセスを確認するわけです。
2. 委託先の情報セキュリティまで考慮する
ほとんどの企業は、ITサービスをベンダに委託していると思います。この場合、ベンダの情報セキュリティ対策が脆弱だと、サービスを利用する企業の情報セキュリティもサイバー攻撃にさらされやすいということになります。ベンダに大切な経営情報を預けるからには、預ける先が信頼できる会社なのか、よく確認する必要があるのです。そのために、委託先のセキュリティ診断を行うことも一つの方法です。情報の委託先のセキュリティも、十分考慮する必要があります。
3. 関係者とは常に情報セキュリティに関するコミュニケーションをとる
業務上の関係者、例えば取引先や従業員と、情報セキュリティに関する意見交換を常にしておくことが、サイバー攻撃に対する防御にもつながります。入金口座の変更依頼メールが来た際も、詐欺メールを念頭において、取引先と電話などで事実確認をするようにしていれば、だまされて支払いを行うことを防ぐことができます。自社だけでは防御力に限界がありますが、関係者と連携することで、 防御力を格段に上げることができるのです。
以上3原則以外にも留意するべき点はありますが、まずはこの3原則を留意するとよいと思います。