問題
問79
企業のリスクマネジメントの一環として行われるサイバーセキュリティリスク対策の推進において、経営者に求められる役割として、最も適切なものはどれか。
- IT 部門のセキュリティ担当者に、部門ごとのサイバーセキュリティリスク対応方針の策定と実行を全て任せる。
- サイバーセキュリティ対策を実施する上での責任者となる CISO を任命し、実行や判断を全て任せる。
- 実施方針の検討、予算や人材の割当て、実施状況の確認や問題の把握と対応を通じて自らリーダーシップを発揮する。
- 専門家である外部の経営コンサルタントに、自社の組織や事業におけるリスクの分析と対策の推進に関する権限と責任を委譲する。
[出典:ITパスポート試験 令和8年度 問79]
正解
正解は「ウ」です。
解説
正解は「ウ」です。現代の企業経営において、サイバーセキュリティは単なるシステム担当部門の問題ではなく、事業の継続を左右する極めて重要な経営課題となっています。そのため、経営者は現場や特定の担当者に丸投げするのではなく、自らが強い主導権を持って取り組む必要があります。
例えば、大きな船の航海に例えると、経営者は「船長」の役割を果たします。どこへ向かうかの「方針」を明確に示し、燃料や食料といった「予算・資源」を適切に割り振り、船底に穴が開いていないかといった「リスク」を常に把握しておく必要があります。この選択肢が示す通り、実施方針の検討や予算・人材の配分、そして実施状況の継続的なチェックと改善を経営者自らが行う姿勢、すなわち「リーダーシップ」を発揮することが、実効性のあるセキュリティ対策には不可欠です。
万が一、サイバー攻撃を受けた際の被害は莫大な金銭的損失や社会的信用の失墜を招くため、これを経営のトップが最優先事項として捉え、組織全体を動かしていくことが求められています。
ア(IT 部門のセキュリティ担当者に、…全て任せる。):
セキュリティは経営上の重大なリスクであり、特定の部門や担当者に責任を丸投げすることは適切ではありません。経営層の関与が必要です。
イ(CISO を任命し、実行や判断を全て任せる。):
CISO(最高情報セキュリティ責任者)を任命しても、経営者が「全て任せる(関与しない)」という態度は無責任であり、全社的な推進が困難になります。
エ(外部の経営コンサルタントに…責任を委譲する。):
専門家の助言を得ることは有効ですが、自社の存続に関わるリスク管理の最終的な「責任」そのものを外部に譲ることは経営として不適切です。
難易度
この問題の難易度は「易しい」と言えます。ITの専門知識がなくても、「経営者の役割」という一般的なビジネス常識に照らし合わせれば正解を導き出せる内容だからです。他の選択肢に共通するキーワード「全て任せる」「委譲する」といった、いわゆる「丸投げ」の姿勢は、ビジネスシーンでは責任逃れとみなされるため、消去法で「自らリーダーシップを発揮する」という選択肢を選びやすい構成になっています。
用語補足
サイバーセキュリティリスク:
外部からのハッキングやウイルス感染、内部不正などによって情報の漏えいやシステム停止が発生し、ビジネスに悪影響が出る可能性のことです。
CISO:
Chief Information Security Officerの略で、最高情報セキュリティ責任者のことです。企業のセキュリティ対策を統括する役員の役割を指します。
リスクマネジメント:
組織に発生する可能性のある危険を予測し、その被害を最小限に抑えたり、未然に防いだりするための組織的な活動のことです。簡単な例では「予備の備蓄」などもこれに含まれます。
リーダーシップ:
目標達成に向けて組織やチームを導く能力のことです。セキュリティ対策においては、経営者が自ら率先して資源を投入し、組織全体の意識を高めることが重要です。
対策
この問題を解くポイントは、サイバーセキュリティを「技術的な問題」ではなく「経営上の重要リスク」として捉える視点を持つことです。試験対策としては、経済産業省が発行している「サイバーセキュリティ経営ガイドライン」の主要な考え方を理解しておきましょう。特に「セキュリティ対策はコストではなく投資である」という考えや、経営者がリーダーシップを発揮すべきという基本原則を意識することが大切です。
