6/1に記事を書いた経営指針にサイバー攻撃対策を盛り込む事を促す経産省の方針ですが、産業サイバーセキュリティ研究会の第2回の配布資料が出ていました。
foxsecurity.hatenablog.com
資料3 産業サイバーセキュリティ強化へ向けたアクションプラン
◆キタきつねの所感
資料を俯瞰する限り、やはりサイバーセキュリティ経営ガイドラインの実効性を高めるための施策と言えそうです。いくつか面白いなと思うところがありました。
セキュリティは儲からないと予算を渋る(ロウガイカムチナカノウセイガタカイ)経営陣に対して、まずはサイバーセキュリティ経営ガイドラインで方向性を示し、2段階目として今回の、経営指針にサイバーセキュリティ対策を盛り込む・・つまり投資家に対して経営陣がセキュリティ対策を実行する責任がある事を宣言する、そして3段階目として、自社のセキュリティ対策の状況について、外部監査などを受け、その評価結果を開示する(客観評価・可視化)。
経産省の狙い通りに進むかはわかりませんが、産業サイバーセキュリティ強化へ向けたアクションプラン を読む限り、理論武装はしっかりしていますし、段階を踏んで有識者を含む研究会の成果としている所もありますので、上場企業は反対しずらいのではないでしょうか。
私個人としては、実務者向けのベストプラクティスを作る動き(サイバーセキュリティ経営プラクティス検討会)も面白いと思いました。サイバー攻撃等の実際の事故を教訓とした『対策事例集』が実務的な内容でまとまって欲しいものですが、これが玉虫色なお役所表現に終始する成果物になってしまうのであれば、、、経営者のセキュリティ投資への温度感にも影響してしまうかも知れません。
色々と他にもアクションプランがあるので、内容が気になる方は、資料3を是非読んでもらいたいのですが、うまくいけば良いなと思うのが、CISO教育。
とはいえ・・・ちょっとコンピュータを知っている程度の、名ばかりCISOの役職者の方々が受講しても効果は薄いのではないかと思います。成功の鍵は、戦略マネージメント層の受講資格をきちんんと定義する(名ばかり・・の方にはハードルが高い内容で)事でないかと思います。
新たな構想として人材不足を団塊世代を活用という点では、この取り組みも面白いと思います。とは言え・・単にITに従事してきた方・・・ご老体の諸先輩の中には、優秀な方(この構想に当てはまりそうな方)も居ますが、だいぶ多くの方がIT適正無いケースも見受けたりするので・・・再教育される方も大変ではないかなと愚考します。
ハローワークの講習で一定のレベルに達した方だけを、再教育プログラム受講条件にするなど、ふるいが必要な気がします・・・。
とは言え、面白い動きなので今後もウォッチしていければと思います。
更新履歴
