「 Cyber Security Everywhere」時代
～経営者の８つのアクションと政府への６つの提言～

提言のポイント　※詳細は、本文PDFをご確認いただきますようお願いいたします。

本文　概要

　現在社会においてサイバー攻撃は一段と巧妙化、高度化、複雑化、組織化が加速しております。またわが国は人手不足が顕在化する中で、企業がDXを更に推進していく必要があり、そのためにはサイバーセキュリティの強化が不可欠です。 
　本提言では、「Cyber Security Everywhere」時代に突入したという認識のもと、経営者が行動すべき8つのアクションと政府への6つの提言を示します。

経営者が行動すべき8つのアクション

1. サイバーセキュリティを成長ドライバーへ
   ・経営トップがサイバーセキュリティリスクに対する危機感をもち、重要な経営課題と認識するべき
   ・サイバーセキュリティを成長ドライバーとして位置づけ、守りの対策から攻めの戦略へと転換を図るサイバーセキュリティを成長ドライバーへ
2. 体制強化
   ・サイバーセキュリティの体制を図るため、CISO（最高情報セキュリティ責任者）等の体制づくりをすべき
   ・CISOを取締役や役員クラスに任命及びCISOに事業停止の権限付与
3. 専門性のある取締役による議論とモニタリング
   ・サイバーセキュリティにおけるガバナンスを強化するため、専門性のある取締役による議論とモニタリングをすべき
   ・取締役会での議論と意見を基に執行側のサイバーセキュリティ対応をモニタリング・改善する体制を構築
4. リスクの見える化・数値化
   ・自社のアセットを見える化、管理するともに、被害リスクの数値化し、事業の影響度を把握すべき
5. リスク対応計画策定
   ・経営トップはあらかじめ有事に備えたリスク対応計画策定をすべき
   ・自社の事業戦略や価値をもとに、優先順位やリスクの影響度を鑑みて、実際のサイバー攻撃を想定し、複数のプランを策定
6. 予算の独立化
   ・IT予算とサイバーセキュリティ予算を独立させるべき
   ・自社のサイバーセキュリティ戦略をもとに具体的なリスクの低減や回避、さらには事業への影響度を加味しながら、中長期的な投資をする必要
7. 人材の定義化
   ・サイバーセキュリティの人材における役割、必要な知識及びスキル等人材定義をすべき
8. 人材育成・獲得
   ・「シン・日本型雇用システム」導入など、人材の制度・報酬体系を整えるとともに、海外人材の獲得や人材育成実践の場を検討

政府への6つの提言

1. 能動的サイバー防御の早期導入・NISCの司令塔機能強化
   ・安全保障や重大なサイバー攻撃の恐れのある場合、未然に排除、侵害拡大を防止する能動的サイバー防御を早期に導入すべき
   ・内閣サイバーセキュリティセンター（NISC）の司令塔機能強化
2. 重要インフラ事業者への報告義務化・新たな官民連携組織の創設
   ・重要インフラ事業者への報告義務化を早期に導入するべき
   ・新たな官民連携の組織体を創設、新たな官民連携の組織体は「give and take」の概念を念頭に、情報収集・提供、インシデント対応支援、リスクコミュニケーションなどの機能をもつ組織へ
   ・さらに定期的な会合やワークショップを開催し、参加企業間の情報や意見交換を促進するとともに、官民との人材交流を行い、信頼関係の構築
   ・インシデント報告先の一元化、報告フォーマットの統一化、報告や集約の効率化の実現
3. 人材育成
   〇サイバーセキュリティ人材定義と可視化
   ・政府主導でサイバーセキュリティ人材定義と可視化を検討すべき、また人材定義と可視化とともに教育機関と連携
   〇教育機関の質と量の拡充
   ・セキュリティ人材の即戦力、さらにはCISOなどのトップ人材を増やすべく、高専、大学、大学院の人材育成を強化するため、質、量を広げるべき
4. 情報開示：有価証券報告書への記載義務
   ・重要情報の正確かつタイムリーな開示を行うことを念頭に、有価証券報告書への記載義務を検討するべき
5. サイバーセキュリティ産業の振興
   ・高品質な国産セキュリティ製品、サービス供給を強化し、海外展開などを行い、研究開発や人材育成などのエコシステムを構築
   ・耐量子計算機暗号の対応をするため、政府主導で民間ともに取り組みについてロードマップを描くべき
6. サイバー保険
   ・政府主導でデータ集約、分析、ルール作りをして、サイバー保険によるリスク評価の枠組みとしての選択肢を作るべき

以上

>English version