【2025年1月】経営層の為のサイバーセキュリティの考え方教育

12月は忘年会を開催しましたので、2024年1月の毎月教育はナシとして、2025年1月に『経営層の為のサイバーセキュリティの考え方教育』を実施しました。

参考資料は、NECの渕上さんが書かれた「経営層のためのサイバーセキュリティ実践入門」です。

IT事業部の社員から要件定義などの設計時にコンサルとしてのセキュリティの考え方を教えて欲しいと要望があった為、開催させて頂きました。

元、マイクロソフトのマスタートレーナーでもあり、元トレンドマイクロの社員でもあり、日立製作所系列で設計構築をしており、現在は経営層でもあるので、色々な角度で物事を考えることができます。その為、お客様の経営層にはどのようにセキュリティ対策をお伝えするのか？一般的な本に書かれたポート制御などではコンサルはできません。それは、お客様の経営層の身になって考えられないといけません。今回は、「お客様の経営層になったつもりで、その目線で」というテーマで教育をさせて頂きました。

例えば、現在、国は「重要インフラのサイバーセキュリティに係る行動計画」を策定し、14分野に対して、行動指針を示しています。

「情報通信、金融、空港、鉄道、電力、ガス、水道、政府・行政、医療、物流、化学、クレジット、石油」

これらの分野に対して、セキュリティの在り方を示しています。

その中で、再々委託禁止なども書かれています。

日本の構造はゼネコン構造と同じ、多重派遣が多いので、これらを禁止してきたわけです。

国の法律なので、富士通様やNTTデータ様、NEC様、日立製作所様など大手企業も従う訳です。そうなりますと、その下請けにも影響します。よって、今後、4次請け、5次請け、6次請けなどの零細企業はバタバタと倒産していくと思います。

クロテックは、「多重派遣は受けない、作らない、やらない」と決めています。

その為、富士通様やNTTデータ先端技術様など大手と直接契約をしているわけです。

また、教育内容では、「NIST SCF」の内容を教育したり

「サイバーセキュリティ経営ガイドライン」の内容を教育したり、会社の売り上げに対して、どのくらいのセキュリティ投資すべきなのか？なども社員には教えています。

↑

このあたりは、ただ設計や構築だけのお仕事をしていると知りませんよね。