1月20日のSankeiBizに経団連が「サイバーセキュリティ経営宣言」の実施を会員企業に求めるという気になる記事がありました。
www.sankeibiz.jp
経団連は、日本の代表的な企業1,350社、製造業やサービス業等の主要な業種別全国団体109団体、地方別経済団体47団体などから構成されています(経団連HPから引用)
日本を代表する企業が多いですので、経団連が経営トップのマインドを変える動きとして「サイバーセキュリティ経営宣言」を通して積極的に経営トップに働きかけることは、中小企業のサイバー攻撃への対応にも波及する良い取り組みでないかと思います。
同じような動きとして、経団連は「企業行動憲章」を企業に定着させる取り組みもしています。そうした意味では、今回の「サイバーセキュリティ経営宣言」も多くの経営トップに受け入れやれ易い環境にあるかも知れません。
とは言え、実効性については若干不安が残ります。ポリシー/規定を作るだけであれば、そう難しくありません。ですがサイバーセキュリティ対策は、行動憲章の様な企業ポリシー・内部統制の問題ではありません。そうした意味ではその中身が問われるものと言えます。
経団連では、サイバー攻撃が巧妙化、多様化している上、モノのインターネット(IoT)の普及によって、企業でのリスクがこれまでと異なる次元を迎えているとみている。そうした中では経営トップが率先して、社内のサイバーセキュリティーに取り組む姿勢を明確にすべきだとしており、これを「経営宣言」の形式で示すことを求める。(SankeiBiz記事から引用)
企業が置かれている現状は、毎年大型のインシデントが世界中で発生している状況を鑑みると、まさに「異なる次元」という表現が合っているかも知れません。企業が攻撃を受けるか分からない第6の戦場となり始めています。
wired.jp
サイバー攻撃リスクが低い、メールやインターネットをまったく使わない様な事業形態に戻すことは、もはや多くの企業にとって不可能になりつつあります。だとすれば、セキュリティ対策は経営者の強いリーダシップの元で継続的な取り組みが(予算)必要であり、自社のシステムだけでなく、サプライチェーン全体が狙われているという理解の下で企業戦略を考える必要があると言えます。
「サイバーセキュリティ経営宣言」は、経営トップの覚悟が問われる、そう言っても過言ではないかも知れません。
更新履歴
