Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS

サイバー攻撃は外部の専門家の評価が求められる時代に

日経に経済産業省の取り組みが出ていました。

www.nikkei.com

経済産業省は国内の上場企業に対し、経営指針にサイバー攻撃への対策を盛り込むことを促す。経営層が取り組みに関与し、実施状況について監査法人などの評価を受けることも求める。30日に開く有識者会議「産業サイバーセキュリティ研究会」で方針を決める。

(日経記事より引用)

 

30日の会議前のリーク記事となるようです。産業サイバーセキュリティ研究所で調べてみると・・・WGの成果が討議・発表されるようです。

www.meti.go.jp

◆キタきつねの所感

研究会の成果発表前のリーク情報(結論の前倒し発表)の様です。去年何か資料を見たなと思ったので第1回の資料を探してみたのですが、配布資料が勉強になります。特に事務局説明資料が現状の俯瞰に役立つ情報が結構ありました。

www.meti.go.jp

経営指針へのサイバー攻撃対策については、昨年11月に改訂されたサイバーセキュリティ経営ガイドラインの考え方を踏襲した(その実効性を高める)ものだと思います。更に踏み込んで、外部の監査法人の評価・・・これがどこまで普及するのかは分かりませんが、自社の『全部YES』式の(お手盛り)評価では実効性が高まらなという事を考えて、リスクアセスメントであったり、セキュリティ監査という形で外部の専門家のサポートを受けるべきであるという委員会の討議の流れになっているのだと推測します。

こうした背景として、日経記事では、日本企業の対策の遅れを指摘しています。

 日本企業の対策は出遅れが目立つ。独立行政法人のIPA(情報処理推進機構)によると、経営層が積極的にサイバー対策に関与している企業は米国の83%、欧州の72%に対し、日本は58%にとどまっている。

(日経記事より引用)

セキュリティコンサルタントの端くれとしては、嬉しい方向性といえるのかも知れませんが、上場企業の経営層がセキュリティ専門家の視点が必要である、と予算をつけてくれる可能性が高くなる事は、中小企業への波及効果も含めて、とても良い事ではないかと思います。

 

監査法人のキャラクター

 

更新履歴

  • 2018年5月29日PM(予約投稿)