元情シス部員の頑張るIT

元情シスで現コンサル。マジ使えないと言われても頑張ります。

サイバーセキュリティ経営ガイドライン v2

サイバーセキュリティ経営ガイドライン(METI/経済産業省) 

言いたいことはわかる。細かいことは言わないけど、セキュリティ云々の前に、、、、

前提として、リスクとは不確実性であり、不確実をいかに想像し(リスクマネジメント)、発生した際の影響を「最小化」もしくは「経営として容認できる状態にするか」(クライシスマネジメント)が重要になるというのは一般論です。

普通の会社が、普通に経営を回して行くためには、普通にやらざろうえない取り組みであり、セキュリティ対策もそれに含まれるというのも、まあ一般論。

このガイドラインで言いたいことをよくよく読むと、「セキュリティ対策を経営陣が陣頭指揮とってちゃんとやること!やらなきゃダメなんだからね!」としか言っておらず、経営判断としてセキュリティ対策に濃淡をつけて、やるとこやるけど、ここはやりません、的なことをあんまり想定していない気がする。

とまあ、セキュリティって言いたいのは分かるんだけど、あくまで沢山ある経営判断の中の一要素なんですよ、ということをちゃんと理解してガイドラインを作っているのかどうかが甚だ疑問です。

※総論は合意してますよ!