サイバー攻撃は、連日メディアの注目の的であり、企業の役員室においても高い関心事となっている。全社戦略や、リスクマネジメント、チェンジマネジメント、アクセスコントロールを通して、情報システムの機密性、信頼性や可用性は情報セキュリティの大きな課題となっている。

　リスクマネジメントにおける現実は、リスクとは決して排除できないものであり、リスクに対応する経営資源には限界があり、さらに困ったことにリスクは常に変化し続けるものであるということである。サイバー脅威とはまさにそのようなリスクでもある。だからこそ、迫りくる脅威を見極めるとともに、どこまで許容できるのかを見定め、組織の最も重要な情報資産、いわゆる“クラウンジュエル”に焦点を当てて、避けることのできないリスクに備えることが大変重要となる。

　現実には、クラウンジュエルに焦点を当てず、すべてのシステムや情報資産に同じレベルのリスク許容度を適用している企業が多い。つかみどころのないサイバーリスクに如何に経営の視点から効果的に対応するかが問われている。セキュリティの脅威はよくあるハッキングばかりではなく、攻撃側としては息のかかった契約社員を企業内部に送りこむだけで十分と考えるかもしれない。そこで、ITセキュリティに対処する上での三つのポイントについて整理してみる。