サイバーセキュリティトップインタビューコンサルティングサービス
サイバーセキュリティトップインタビューコンサルティングサービスの意義
サイバーセキュリティトップインタビューコンサルティングサービスとは、ビジネスとサイバーセキュリティに精通したコンサルタントが、トップマネジメントとの対話を通じて、トップマネジメントのサイバーセキュリティに対する思いを聞き取り、「サイバーセキュリティ取組み方針書」などお客様の組織にとって最適な形に落とし込むものです。
サイバーセキュリティのあるべき姿は、社長の意思をCISOがしっかりと受け止め、組織の経営陣からトップダウンでアプローチを行うことです。サイバーセキュリティに対する姿勢をトップマネジメント自らが示しコミットしてこそ、初めて全社に浸透し、役立つものになります。
経済産業省による「サイバーセキュリティ経営ガイドライン」や内閣サイバーセキュリティセンター(NISC)が策定した「企業経営のためのサイバーセキュリティの考え方」においても、トップマネジメントが率先してサイバーセキュリティに取り組むべき旨が明記されています。また、海外では更に進んでおり、例えば英国では金融庁が実施する「Dear Chairman Exercise」という経営層を対象とした演習でサイバーセキュリティの知識を試されるなど、トップマネジメントにセキュリティ知識はあって当然という認識となっています。
現在でも多くの企業において、サイバーセキュリティがIT部門の対応にとどまるケースが散見されます。しかしながら、トップマネジメントがサイバーセキュリティに対してのあるべき姿・目指すべき場所を示さなければ、経営に役立つサイバーセキュリティにはなりません。トップマネジメントの関与なしでは、投資を含む適切な対策を打つことができないばかりか、サイバー攻撃発生時にも意思決定が遅れ、被害拡大を招くことにもなりかねません。
「我社ではセキュリティポリシーを定めている」「セキュリティ委員会で都度トップマネジメントにセキュリティ対応を報告している」と反論される方もいらっしゃるかもしれません。しかし、それは「トップマネジメントとの対話」になっているでしょうか。一方的な報告になっていませんか。トップマネジメントが理想とする「あるべき姿」が示され、そこに最短距離で到達するための活動となっているでしょうか。
本サービスは、トップマネジメントのサイバーセキュリティに対する思い、考えを受け止め、コミットする姿勢を引き出し、真に経営に役立つサイバーセキュリティ活動の第一歩とするためのものです。
このようなお客様におすすめします
サイバーセキュリティの取り組みを進めているお客様、または、本格的に取り組もうとされているお客様の中で、下記のような悩みを抱えている方におすすめします。
- 現場はサイバーセキュリティの重要性を理解しているものの、トップマネジメントの理解が不足している
- トップマネジメントのサイバーセキュリティに対する知識が浅く、どのようにセキュリティの重要性を伝えていいのかわからない
- セキュリティに取り組んでいるのはIT部門のみで、本来あるべき、全従業員による全社的な取り組みが進まない。トップマネジメントからの強力なバックアップが欲しいところだが、どうやって取り付けたらいいかわからない
- トップの生の声を聞くというトップインタビューはぜひやってみたいが、自分たちでは適切なヒアリングができる自信がない。できたとしても、それをどのような形に落とし込めば良いのかわからない
- 自社でどのようなサイバーセキュリティの形を実現していけばいいのかわからない
- ボトムアップ型でやってきたが、トップダウン型の要素を加えたい
サイバーセキュリティトップインタビューコンサルティングサービスの内容
ビジネスとサイバーセキュリティに精通したコンサルタントが貴社のトップマネジメントに1~1.5時間ほどのインタビューを行います。 インタビューではサイバーセキュリティに関する昨今のトレンドをお伝えしながら、下記質問を通じてトップマネジメントのサイバーセキュリティに対する考えをお聞きします。
- 経営において大切にしていること
- ITに限らず、過去、何か重大なインシデント(自らが陣頭指揮を執って対応する事態)が発生したか
- インシデント発生の際、どのように判断、対応したか
- 経営の観点でどのリスクが気になるか。その中でサイバーは直感的にどの位置付けか
- サイバー攻撃に起因する最悪の事態は何か
- 重要システムが停止したとして、どれくらいの停止時間が許容できるか
- ITやサイバーセキュリティについて、更なる投資や人材雇用等についてどう考えているか
- サイバーセキュリティ・ITセキュリティに関して、同業他社と比較した場合、どのレベルで対応が必要か 等
サービスの特長
- 1. 対談形式でトップマネジメントのお考えを引き出します
- トップインタビューでは、対話をしながら、サイバーセキュリティに対するトップマネジメントの思いや方針(最も重要視している事態は何か、具体的にどこまで対応したいのか、サイバーセキュリティ活動にどこまで力を入れたいのか等)を言語化し、あいまいな部分は具体化していきます。インタビュー結果はトップマネジメントのコミットメントとして、サイバーセキュリティ活動の明確な方針となります。
- 2. インタビュー結果をお客様にあった文書の形(案)に落とし込みます
- お客様の組織文化とインタビュー結果を勘案し、トップマネジメントのコミットメントをお客様組織内へ展開するのに最も適切な形に落とし込みます。例えば、フォーマルな形が適している場合には「サイバーセキュリティ取組み方針書」のような文面に落とし込んだり、社員に思いが伝わりやすいよう、親近感をわかせるメッセージレターのような形の文面に落としこんだりすることもできます。※
- 3. トップの知りたいサイバーセキュリティのトレンド情報を提供できます
- 一方的にトップマネジメントの話を伺うのではなく、トップマネジメントがお知りになりたい昨今のサイバーセキュリティのトレンド(例えば、〇〇企業の情報漏洩事故の際、経営トップはどのような対応をしたのか等)について、情報提供をさせていただきます。
- 4. 今後の進め方について事務局にアドバイスをいたします
- トップインタビューはサイバーセキュリティ活動のファーストステップであり、重要なのはトップマネジメントの思いや意向を受けて、それをサイバーセキュリティ活動に反映していくことです。文書化する以外に、具体的にどのような活動にしていけばいいのかについて、事務局に対してお客様の環境に応じた具体的なアドバイスをいたします。
※原稿の作成までを支援範囲に含みます。WEBページそのものを作成したり、e-ラーニング用のコンテンツそのものを作成したりすることは含みません。
成果物(例)
- トップインタビュー議事録
- サイバーセキュリティ取組み方針書
- お客様のご要望に合わせた文書
作業ステップ(例)
お客様事例