「足し算」ではなく「引き算」の対策を、セキュリティ戦略で重視すべきポイント

　ビジネス環境の急変や新たな脅威への対応など、サイバーセキュリティの重要性が高まっているが、多くの企業では一時的な対策の積み上げに追われ、本質的な解決に至らないままコストだけが肥大している。セキュリティ戦略においては、最も重要な目的である「デジタル化するこれからの事業価値を守ること」を前提に、ビジネスとセキュリティを統合し、IT部門と経営層の認識をすり合わせていくことが重要だ。

　具体的なセキュリティ対策においても、従来の「足し算」の対策から、優先度をつけた「引き算」の対策へと移行することが有効だ。フレームワークやガイドラインに準拠させ、裏付けを持った上で判断できる体制を構築しておくとよいだろう。米国国立標準技術研究所がまとめた「NIST サイバーセキュリティフレームワーク（NIST CSF）」では、経営層がサイバーリスクを考慮することを強く意図しており、IT部門との連携の重要性が指摘されている。

　本資料では、サイバーセキュリティが多様化する昨今において、セキュリティ戦略を考える際に重視したいポイントを解説する。自社のセキュリティ戦略を設計する上で、役立ててもらいたい。