経団連は6月21日、サイバーセキュリティ委員会サイバーセキュリティ強化ワーキング・グループ(梶浦敏範主査)をオンラインで開催し、同ワーキング・グループに参加している2社から、サイバーセキュリティ強化に向けた取り組みや次期サイバーセキュリティ戦略への期待等を聴いた。説明の概要は次のとおり。
■ 経営リスクとしてのサイバーセキュリティ(東京電力)
近年、サイバーセキュリティは単なるITの問題ではなく、サイバー攻撃への対応を誤ると、組織の存亡にもかかわる重大な経営リスクとなっている。このような認識のもと、当社はサイバーセキュリティ体制を強化すべく、持株会社と子会社それぞれに、経営層のセキュリティに関する意思決定を支えるSIRT(注1)を設置した。基幹事業会社のひとつに、全社のセキュリティ監視を行う部署を設置し、平時のセキュリティリスク管理とインシデント発生時の対応が行える体制を整備している。
セキュリティ人材の育成面では、アメリカのNICE(注2)フレームワークを参考に自社のフレームワークを策定し、組織に求められる能力を定義している。
政府への期待としては、時勢に合わせた法令の見直し、情報共有における信頼性確保の仕組みの整備、サイバー攻撃を受けた企業への報道対応支援等が挙げられる。
(注1)SIRT(Security Incident Response Team)=コンピューターやネットワーク上のセキュリティインシデントに対応するための専門チーム
(注2)NICE(National Initiative for Cybersecurity Education)=NIST(アメリカ国立標準技術研究所)が策定した、サイバーセキュリティ業務において求められる能力などを共通化するフレームワーク
■ サイバーセキュリティとガバナンス体制の強化(凸版印刷)
当社は、DX事業をはじめとした新たな重点事業の拡充を目指し、事業ポートフォリオの変革を進めているさなかである。変革と並行し、サイバーセキュリティについても、セキュリティに関する新たな組織の創設、取り組み状況の可視化等を進め、サイバーセキュリティは経営課題であるという意識の浸透を図っている。
その他の取り組みとしては、ユーザー視点等による既存の情報セキュリティ規定体系の見直し、サービスのライフサイクル全体にセキュリティを盛り込んだ新たなサービスの提供等が挙げられる。
政府には、今までに発行された各省庁等のセキュリティに関するガイドラインの整合性を定期的に見直し、一貫性を高めることに加え、ITリテラシー教育の拡充を期待している。
【産業技術本部】