[ビジネス・イノベーションを実現する情報セキュリティ対策]

CEOが企業にリスクをもたらす10の項目―CISO-CEO間の隔たりを埋めるために Part7

2010年4月30日(金)

EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

 これまで、会社の利益のためにはセキュリティをもっと戦略的なものにする必要があることをCEO(最高経営責任者)に納得させるにあたってCISO(最高情報セキュリティ責任者)がやるべきこととやってはいけないことを取り上げた。だがCEOもこの件に関しては責任を負っている。CEOは、自分の行動や態度が、会社の情報保護の取り組みにどのようなインパクトを与えるかを理解しておく必要がある。情報セキュリティに関して、CEOやそのほかの最高経営責任者、取締役会がどのようにして会社を危機にさらすことになるのかを検証する。

1. 情報に対するリスクを無視する

 CEOやほかの経営陣は、情報に対するリスクを無視したり、十分な時間をかけて考慮しないことがある。競争上の脅威や財政危機など、憂慮しなければならないリスクがほかにも多数あるのが原因だろう。だが現在の社会経済情勢やビジネス状況を考えれば、情報の保護は経営陣が注意を払うべき戦略的な重要事項であることは明らかだ。
 情報侵害は知的財産の喪失や企業ブランドへのダメージ、訴訟、規制問題の原因となる可能性がある。しかも被害は拡大しつつある。不正送金などの違法取引にターゲットを絞ったサイバー攻撃や特製マルウェアによって直接的な財政的損失を被り、支出を余儀なくされる企業が増加している。CEOやその他の経営陣が情報に対するリスクを無視すれば、会社を危険にさらすことになる。

2. トップが誤った方向性を打ち出す

 CEOが情報保護に無関心なカルチャーを作り出すことは、会社を危機に陥れることになる。指導者が情報保護の重要性を考慮しなければ、社員たちも気にしなくなる。経営陣が正しい方向性を打ち出すことが必要だ。情報セキュリティの重要性を積極的に伝え、セキュリティ・ミッションを目に見える形でサポートし、情報セキュリティを全社員の責任として位置付けることだ。

3. マスコミの騒ぎに流される

 サイバー脅威に関する過熱したマスコミの報道は、CEOやほかの最高経営責任者たちを誤った方向に導くことがある。そうした大騒ぎにまき込まれた場合、ニュースで大きく取り上げられるリスクにのみ注意を向けてしまい、自社にとって最も重要なリスクを見失うことになる。

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
登録済みの方はこちら

IT Leaders 雑誌版、電子版をご購読の方、会員登録済みの方は下記ボタンよりログインして続きをお読みください

初めての方はこちら

IT Leaders 会員になると
会員限定公開の記事を読むことができます
IT Leadersのメルマガを購読できます

バックナンバー
ビジネス・イノベーションを実現する情報セキュリティ対策一覧へ
関連記事

CEOが企業にリスクをもたらす10の項目―CISO-CEO間の隔たりを埋めるために Part7EMCの情報セキュリティ部門であるRSAセキュリティ。同社が主催するセキュリティに関する協議会「Security for Business Innovation Council」がまとめた、2010年度のセキュリティレポ―トの内容を公開する。世界の大企業のエグゼクティブたちの考え方が凝縮されたその内容は、2010年度のセキュリティ戦略立案に当たって大いに参考になるだろう。[編集部]

PAGE TOP