経営層や責任者が自社のセキュリティ体制で検討すべきポイントとは
こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」6月22日の放送内容を一部抜粋しご紹介します
・今回の解説ニュース
・役割の自覚の観点からも重要、「プラス・セキュリティ」とは何か?
・企業が「やるべきこと」はここに、ITSS+のセキュリティ領域
今回の解説ニュース
経産省から、セキュリティの体制構築と人材確保のポイントについて公開されています。主に経営層や責任者が自社のセキュリティ体制で検討すべきポイントについて説明します。
今回の手引きは「サイバーセキュリティ経営ガイドライン」の付録として、リスク管理体制の構築と人材の確保について具体的な検討を行う際のポイントを解説しています。
今回公開された第2.0版では、読みやすさを重視しポイントをしぼって検討手順を明確化、企業におけるデジタル活用が進展する中での「プラス・セキュリティ」の必要性の高まりを踏まえ、一部内容の更新・拡充を行っているということです。
役割の自覚の観点からも重要、「プラス・セキュリティ」とは何か?
プラス・セキュリティとは、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態のことです。企業におけるデジタル活用が進展する中で必要性がさらに高まっています。
例えば、セキュリティサービスの開発に携わるAさんがいるとします。そのAさんがプロジェクトの進行するためにセキュリティの知識が必要というのは言うまでもないですね。Webアプリケーションであれば、要件定義や設計段階から脆弱性が作りこまれないようにする必要がありますし、開発後の脆弱性診断も欠かせません。これら一連のセキュリティ業務を別のセキュリティ担当者が行うのではなく、Aさんが業務の中でセキュリティの知識やスキルを習得し、実践することでセキュリティ対策を行うことがプラス・セキュリティの基本的な考え方です。
事業部門、管理部門等においてそれぞれの業務に従事する人材が、DX等のデジタル活用を進めるなかでセキュリティを意識し、業務遂行に伴う適切なセキュリティ対策の実施やセキュリティ人材との円滑なコミュニケーションに必要な能力を育成する取り組みが欠かせません。また、プラス・セキュリティを担う人材に自らの役割と責任の自覚を促すための意識付けを行うことも必要です。
なお、DXの取り組み有無に関わりなく、ITを活用するすべての企業において実践すべきとされています。
その他のトピック
企業が「やるべきこと」はここに、ITSS+のセキュリティ領域
(全文はこちら)