2025.01.30
組織全体でセキュリティを向上させるために必要な視点と取り組み
目次
中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。
現代のビジネス環境において、情報セキュリティの重要性は年々高まっています。対策を怠れば、大きな損害や信頼の損失につながる可能性もあります。
そこで本記事では、会社全体で組織的にセキュリティを強化・向上させるために必要な手法や心構えを詳しく解説します。
とても大事なことですので、すでに日頃から基本的対策を実施している企業も、ぜひ一度読み進めて確認・再考する機会として活用してください。
1.経営者や管理者の積極的な関与が鍵を握る
情報セキュリティの問題は、専門の部門や特定の従業員だけが担うべきものではありません。特に情報漏えいやサイバー攻撃が発生すれば、企業全体が大きな損害を被る可能性があります。企業全体の経営方針や体制に深く結びついているため、経営課題として捉えることが不可欠です。
そのため、セキュリティ強化を推進するためには、経営層が主導的に関与し、必要な意思決定を行うことが必須です。セキュリティは、組織全体に関わる重要課題です。経営層が情報セキュリティ対策を組織運営の最優先事項として位置づけることが大切です。
そして、対策にはシステム導入や教育実施などが必要で、時間や資金、人材も必要です。
しかし、これらのリソースは限られており、経営層が情報セキュリティ対策の必要性を理解しなければ、十分な対応ができません。
こうした意思決定を行うのが経営層の役割であり、それをトップダウンで示すことで、従業員の意識改革が進み、組織全体のセキュリティ向上につながります。
このように、経営者や管理者が支援することで、組織は効果的にセキュリティリスクを管理し、体制を構築することができるようになります。
情報セキュリティは技術的な対策だけでは十分ではありません。
従業員一人ひとりの意識や行動も重要な要素です。従業員が日常的なセキュリティ行動を怠れば意味がありません。
次のような基本的な行動を全員が徹底して行うことでリスクを大幅に軽減できます。
・強固なパスワードの使用と定期的な変更
・標的型攻撃メールに注意を払う
中小企業の場合、少人数である強みを活かし、少しの努力で組織全体の意識をまとめ上げることができる可能性があります。
このような取り組みを通じて、経営者や管理者が情報セキュリティの重要性を強調し、模範的な姿勢を示すことで、従業員は情報セキュリティを「他人事」ではなく「自分事」として捉えるようになります。
前回解説した「セキュリティ教育」においても、従業員が情報セキュリティを「自分事」として捉えることが重要です。
前回の記事はこちら:より深く学ぶ セキュリティ教育の重要性
2.顧客や取引先から信頼されるために
経営層が明確なセキュリティ体制を打ち出し、積極的に関与することで、顧客や取引先に対して情報セキュリティに真剣に取り組んでいる姿勢を示すことになります。
このことは、ビジネスの競争力を維持し、信頼を得る上で重要です。
近年はサプライチェーン全体でのセキュリティ対策が求められており、顧客や取引先に「この会社はセキュリティ対策がしっかりしていて安全だ」と感じさせるセキュリティレベルを維持することが、ビジネス拡大に繋がります。
さらに、経営層自らが率先してセキュリティに対する積極的な姿勢を示せば、社内外に「安全・安心を重視する企業である」とのイメージを効果的に伝えられるでしょう。それは信頼にとどまらず、ブランド価値そのものも向上させる原動力となるはずです。
3.現代における脅威インテリジェンスの重要性
サイバー攻撃が日々巧妙化し、世界中で新しい脅威が次々と発生する現代において、セキュリティ強化の柱として「脅威インテリジェンス」が注目を集めています。
この概念は、サイバー攻撃に関する情報を収集・分析し、その結果をもとにセキュリティリスクを可視化し、攻撃に備えるための対応を決定するプロセスを指します。
*インテリジェンスとは、収集した脅威情報をベースに自組織に活用可能なコンテキスト(付帯情報)を追加したもの。
近年、脅威インテリジェンスの重要性が注目されていますが、その背景にはサイバー攻撃の高度化や増加、そして組織のIT環境の複雑化が挙げられます。
独立行政法人情報処理推進機構(IPA)が公表している「脅威インテリジェンス導入・運用ガイドライン」には、次のように述べられています。
「日本国内では海外と比較して、脅威インテリジェンスの活用は成熟していない現状にあり、概念そのものの認知度や、導入しているが有効活用できていない組織も多く存在する。日本という単位でも「National Cyber Power Index 2020」(Harvard Kennedy School Belfer Center)によれば、調査対象となった30カ国の中で、日本はサイバーセキュリティの総合指標において、9位であったのに対し、インテリジェンス部門については能力で16位、意識で22位という結果となっており、脅威インテリジェンスの未発展が日本の課題となっている。」
ここでは、日本では脅威インテリジェンスが海外に比べて遅れており、課題であることがうかがえます。

しかし今後、脅威インテリジェンスの導入は、企業規模を問わず重要なリスクを回避するための鍵となるでしょう。
4.脅威インテリジェンスの分類
脅威インテリジェンスには、次のような種類があります。
・戦略的インテリジェンス
会社全体の方針を決めるための情報のこと。
サイバー攻撃に関する脅威動向や外部環境の分析などによりリスクを明確化し、経営層によるセキュリティに関する意思決定、投資判断を支援します。
・運用インテリジェンス
自社のセキュリティ改善に役立てる情報のこと。
サイバー攻撃の手法を分析して脅威を理解し、ペネトレーションテストなどの短~中期的なセキュリティ改善を行います。
・戦術的インテリジェンス
具体的な攻撃の兆候を見つけて、すぐに対策を取るための情報のこと。
組織内部で検知した、または外部組織から共有される攻撃や脆弱性に関する情報をもとに短期的にインシデントの予防・検知・対応を行います。
5.脅威インテリジェンス活用のプロセス
脅威インテリジェンスを活用するには、以下のプロセスを整理して実行することが効果的です。
*説明の()内に脅威インテリジェンスで用いられる言葉を示しておきます。
(1)目的を明確にする(方針策定フェーズ)
組織の課題に応じたインテリジェンスの目的を明確にします。
目的に沿って、求めるインテリジェンスに必要なデータの収集方法や収集計画を定めます。
(2)情報を収集する(収集・加工フェーズ)
必要なデータを収集し、分析しやすいように整理・加工します。
(3)分析する(分析フェーズ)
集めたデータを分析し、その結果からリスクを予測し、意思決定に必要なインテリジェンスにまとめます。
(4)共有する(配布フェーズ)
部門や役職に応じた適切な形で、インテリジェンスを必要とする人に共有します。
(5)評価する(評価フェーズ)
脅威インテリジェンスプロセスが適切だったのか振り返り、評価します。
6.最後に
情報セキュリティは技術的対策だけではなく、組織全体の文化として根付かせる必要があります。そのためには、経営層の積極的関与や時にはトップダウンによる意思決定が必要となります。
適切な経営支援のもと、情報セキュリティを強化することで顧客や取引先からの信頼を獲得し、自社の競争力を強化していきましょう。
この記事をきっかけに、身近なセキュリティ対策を考えてみてください。
※情報セキュリティに関する最新動向は次の公的機関から発信されています。
- 独立行政法人情報処理推進機構(IPA)情報セキュリティ
https://www.ipa.go.jp/security/ - 内閣サイバーセキュリティセンター(NISC)自由、公正かつ安全なサイバー空間を確保するために。
https://www.nisc.go.jp - 総務省 国民のためのサイバーセキュリティサイト
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin - 警察庁 サイバー警察局
https://www.npa.go.jp/bureau/cyber/index.html - 警察庁 サイバー空間をめぐる脅威の情勢等について
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R5/R05_cyber_jousei.pdf
なお、本稿は、IPAが発行している「脅威インテリジェンス導入・運用ガイドライン」を参考に解説しています。
次回は、中小企業におけるセキュリティ対策の取組事例について解説します。