セキュリティ経営とガバナンス（後期2単位）

教授　桑名栄二　客員教授　藤澤美恵子　客員講師　神橋基博

１．授業のねらい

現代の経営において、サイバーセキュリティは外部からのサイバー攻撃や内部不正といった複雑化し多様化するリスクへの対応が求められ、最重要課題の一つとなっている。さらに、クラウドコンピューティング、IoT、生成AIといった情報通信技術は急速に進化を遂げ、それらを積極的に活用しつつ、新たな挑戦に果敢に取り組まなければ、組織の存続は困難な時代となっている。本科目では、サイバーセキュリティを企業経営戦略の一環として位置づけ、経営者の立場からIT及び情報セキュリティのマネジメントとガバナンスについて学習し、情報セキュリティ管理に関する実践力を高める。

２．到達目標

受講者は、以下の点を理解でき、応用できるようになる。
・経営と情報セキュリティの関係性を俯瞰できる。
・経営的な視点で、情報セキュリティマネジメントやガバナンスを考えることができる。

３．授業計画と開講形態

開講形態は別途通知。
本講義は、組織における情報セキュリティマネジメントやガバナンスの取組についての基礎知識を習得するとともに、演習を通して実践的な取り組みについての理解を得る。

1. オリエンテーション/サイバーセキュリティ経営の3原則
2. サイバーセキュリティ経営の重要１０項目
3. 経営と情報セキュリティ/経営層の役割1
4. 経営と情報セキュリティ/経営層の役割2
5. リスクベースのアプローチ
6. インシデントレスポンス/経営層の役割3
7. サプライチェーン対策/経営層の役割4
8. 内部不正による情報漏洩/経営層の役割5
9. 内部統制と（内部）監査
10. 企業の情報開示
11. ステークホルダーとのコミュニケーション
12. 演習課題の提示と説明
13. 演習1：グループディスカッション1
14. 演習2：グループディスカッション2
15. 演習3：グループ発表

※順序は、受講者の希望や進度によって変更することがある。

４．教科書

特に指定しない。

５．参考書

• 梶浦 敏範、佐藤 徳之（監修）、CRMJ研究会（編著）、「サイバーリスクマネジメントの強化書」、日刊工業新聞社、2023年

６．関連科目

次の科目を履修済み、または同時に履修することが望ましい
・リスクマネジメントと情報セキュリティ
・国際標準とガイドライン
・知的財産制度

７．成績評価の方法と基準

到達目標を充足しているかどうかを評価の基準として、講義における議論への参画状況（40%）と演習レポート及び発表(60%)により評価する。