本日は、第５回情報セキュリティマネージャー ISACAカンファレンス in Tokyoに参加。

今回は「経営課題としてのサイバーリスクに立ち向かうセキュリティマネジメントとは？」というテーマ。

ビジネスのイノベーションが起きると、１年後には脅威が現れ、２年後には脅威への対応方法が現れるものの、脅威への対応が普及するのには20年かかるのだとか。確かにID、パスワードは相当昔からありますが、強固なパスワードが一般的になったのは割りと最近ですね。

ISMSや個人情報保護では半年や1年単位でリスクマネジメントを回すことが多いが、サイバーリスクの世界は日々新しい脅威が発生しており、情報漏えいが発覚するまでの平均日数が約200日となっているのはその辺りに原因がありそう。

最後の経産省の取組のところでは、「サイバーセキュリティ経営ガイドライン」の説明があり、3原則として「経営者のリーダーシップ」、「ビジネスパートナーを含めた対策」、「関係者とのコミュニケーション」が重要とのこと。セキュリティはコストではなく、工場の屋根や塀と同じく投資の一部という考えで、経営者の当事者意識が求められるようです。