8 月 9 日、「リスク対策.com」に、投稿連載記事(第 30 回)が掲載されました。
「サイバーセキュリティの統制が甘すぎる」
第 30 回:サイバー攻撃への組織対応はBCPか?
https://www.risktaisaku.com/articles/-/94177
サイバーセキュリティにBCP?
…
違和感が二つあります。一つは、近年、ランサムウェアによるサイバー攻撃を受けた上場企業がいう「サイバーセキュリティのBCPを構築していました」という説明。サイバーセキュリティにBCP? 言葉の使い方に、いささかの違和感を覚えます。
通常、BCPの定義は専門家の間でも意見が分かれることがあります。地震などの自然災害、パンデミック感染症、テロ、戦争などの外的要因に対し、危機管理統制部門が有事の司令塔になるべくマネジメントシステムを構築する枠組みがBCPだとすると、なるほど確かに、サイバー攻撃は外的要因で、しかも地震のように突然やってくる、企業や組織にとってはまさしく「災害」です。
ただ、サイバーセキュリティの統制において、NIST (アメリカ国立標準技術研究所)の CSF(サイバーセキュリティフレームワーク)ではなく、BCP?という違和感です。…