問題
テクノロジ系
問79 企業のリスクマネジメントの一環として行われるサイバーセキュリティリスク対策の推進において,経営者に求められる役割として,最も適切なものはどれか。
選択肢
- アIT 部門のセキュリティ担当者に,部門ごとのサイバーセキュリティリスク対応方針の策定と実行を全て任せる。
- イサイバーセキュリティ対策を実施する上での責任者となる CISO を任命し,実行や判断を全て任せる。
- ウ実施方針の検討,予算や人材の割当て,実施状況の確認や問題の把握と対応を通じて自らリーダーシップを発揮する。
- エ専門家である外部の経営コンサルタントに,自社の組織や事業におけるリスクの分析と対策の推進に関する権限と責任を委譲する。
解説
正解:ウ
概要
この問題は,サイバーセキュリティリスク対策における経営者に求められる役割を問うものです。経営者がセキュリティをどう位置づけ,どう関わるべきかを理解することがポイントです。
正解の理由
経営者は,サイバーセキュリティ対策を単に担当者やCISOに全て任せるのではなく,実施方針の検討,予算や人材の割当て,実施状況の確認や問題の把握と対応を通じて,自らリーダーシップを発揮することが求められます。ウが正解です。
各選択肢の解説
ア(×): セキュリティ対応を全て部門のIT担当者に任せることは,経営者の責任放棄につながります。経営者が関与することが重要です。
イ(×): CISOを任命すること自体は適切ですが,実行や判断を全て任せるのは不適切です。経営者も関与する必要があります。
ウ(〇): 実施方針の検討,予算・人材の割当て,状況確認と問題対応を通じて経営者自身がリーダーシップを発揮することが正解です。
エ(×): 権限と責任を外部コンサルタントに全て委譲することは不適切です。セキュリティリスクは自組織が責任をもって管理する必要があります。
ポイント
サイバーセキュリティは経営課題です。経営者が積極的に関与し,セキュリティ投資の意思決定を行うことが,組織全体のセキュリティ強化につながります。CISOは経営者の意思決定を支援する役割を担います。