令和8年度試験問題 問79
問79解説へ
企業のリスクマネジメントの一環として行われるサイバーセキュリティリスク対策の推進において,経営者に求められる役割として,最も適切なものはどれか。
- IT部門のセキュリティ担当者に,部門ごとのサイバーセキュリティリスク対応方針の策定と実行を全て任せる。
- サイバーセキュリティ対策を実施する上での責任者となるCISOを任命し,実行や判断を全て任せる。
- 実施方針の検討,予算や人材の割当て,実施状況の確認や問題の把握と対応を通じて自らリーダーシップを発揮する。
- 専門家である外部の経営コンサルタントに,自社の組織や事業におけるリスクの分析と対策の推進に関する権限と責任を委譲する。
正解 ウ問題へ
広告
解説
- 経営者は、サイバーセキュリティリスクを経営者が責任を負うべき経営リスクとして認識し、自らのリーダーシップのもとで組織全体としての対応方針(セキュリティポリシー)を策定させなければなりません。サイバーセキュリティ対策を担当者に指示をする場合でも、定期的な実施状況の確認等を通じてリーダーシップを発揮することが必要です。したがって、担当者に策定や実行を一任することは不適切です。
- サイバーセキュリティ対策の実施には、深刻な被害への対応やリスクの変化に応じた対応の見直しなど、実務上の経営判断が求められます。CISO等の担当者に権限の一部を委譲とする場合でも、実行や判断の最終的な責任は経営者にあります。経済産業省"サイバーセキュリティ経営ガイドライン"でも、『CISO等の担当者へのいわゆる「丸投げ」は許されない』としています。
- 正しい。経営者は、組織のリスクマネジメントに責任を負う立場として、リスク対策に関する実施方針の検討、予算や人材の割当、実施状況の確認や問題の把握と対応等を通じてリーダーシップを発揮することが求められます。
- 自社内で対策実施に必要なスキルを有する人材を確保できない場合は、必要に応じて外部の専門家の知見を活用することがあります。しかし、外部委託する場合であっても、企業のリスクマネジメントや対策の推進といった組織上の判断は、経営者が自らの権限と責任で行うべきものであり、外部の者に委譲することはできません。
広告