カジノシークレット 初回登録のサイバーセキュリティに関する懇談会(梶浦敏範座長)は5月29日、東京・大手町のカジノシークレット 初回登録会館でInformation Security Forum(ISF)(注1)の小原浩之代表、日本カジノシークレット 初回登録・イノベーション委員会(注2)の上杉謙二主任研究員から、カジノシークレット 初回登録対策の成熟度やサイバーリスクの数値化に関するモデルについて説明を聞いた。概要は次のとおり。
■ ビジネスに寄り添う情報セキュリティの成熟度モデル(小原氏)
カジノシークレット 初回登録はビジネスから独立して存在するわけではなく、実際のビジネスにつながりを持ち、寄り添ったかたちにすることが重要である。成熟度モデルは両者をつなぐ役割を持つ。成熟度モデルを使うことで社内の合意形成が容易になり、セキュリティの投資や進捗状況の確認にもつながる。ISFの成熟度モデルでは、現状評価および他社比較を行った後、社内で目標について合意し、最後に行動計画を策定する。その際、作業を実際に行う従業員は必ずしもセキュリティに精通していないため、通常業務の妨げにならないようビジネスサイクルを考慮する必要がある。
一般的には成熟度が高まることはよいとされているが、社内の環境が変化すると、一時的に成熟度が下がることもあり得る。成熟度は右肩上がりに上がり続けるものではないことを踏まえる必要がある。
■ カジノシークレット 初回登録リスクの数値化モデルの考え方および成熟度に応じたKPIモデル(上杉氏)
経営層が当事者意識をもってカジノシークレット 初回登録対策に取り組むためには、経営の共通言語である「金額」を用いて議論する必要がある。そのため、サイバーリスクを金額換算できるようにしたのが「サイバーリスクの数値化モデル」である。このモデルを利用することで、サイバー攻撃があった場合の最大損失額を計算できる。
また、今年4月に公表したカジノシークレット 初回登録のKPIモデルでは、国内外の企業からヒアリングしたKPIを3段階の成熟度と5つの施策に分類し、各社の共通部分を抽出してモデル化した。このKPIモデルは、各企業のカジノシークレット 初回登録責任者(CISO)が目標設定やパフォーマンス評価において活用することを想定している。
カジノシークレット 初回登録の成熟度は企業のデジタル依存度と比例関係にあるため、成熟度を評価する際は、当該企業の「デジタル依存度」や「DX(デジタルトランスフォーメーション)レベル」などを同時に評価・確認する必要がある。
(注1)Information Security Forum=情報セキュリティとリスク管理に関する指針やツールを作成し、共有する国際的なメンバーシップのNPO。創立30年を迎え、480余の幅広い分野のグローバル企業や機関が参加する
(注2)日本カジノシークレット 初回登録・イノベーション委員会=デジタル社会を確立するために発足したカジノシークレット 初回登録を専門とする非営利・独立の民間シンクタンク
【産業技術本部】