日本 JCIC 分享資安長轉型經驗 微軟強調雲端平台有益中小企業降低資安風險

面對企業資安不斷遭受威脅的情況下，向來是駭客攻擊重點地區的金融業主管單位－金管會，近期也要求上市櫃公司配置資安長與資安專責單位，突顯出企業資安長的重要性，以及企業如何在混合雲時代如何與雲端供應商及資料中心搭配維護資安的重要性。

而日本於去年修訂網路安全策略，確定「涵蓋所有人」的策略目標之後，產業界也積極與政府配合，推動數位轉型之際確保日本安全保障的規劃。台灣微軟邀請到日本網路安全創新委員會 (Japan Cybersecurity Innovation Committee, JCIC) 代表理事梶浦敏範 Kajiura Toshinori，以及微軟亞洲首席資安官花村実 Hanamura Minoru，闡述日本企業設立資安長的過程與經驗。

台灣微軟 Microsoft 365 事業部副總經理朱以方表示，企業除了制訂資安政策之外，培養內部人員的資安素養更是當務之急。事實上，企業人員只要維持基本的網路衛生 (Cyber Hygiene)，就足以阻擋 98% 的網路攻擊。JCIC 主席，亦是日本經團連資安工作協會小組主席梶浦敏範也認為全民資安最重要的是意識改革，必須改變一般民眾認為資安與自己無關的想法，開始重視自身的資訊安全，才能同步提升日本全國的資安水準。

而日本經團連也特地從美國進口 IT 安全指導手冊，翻譯成日文，出版「網路安全經營宣言」，指導企業經營者關於資安的重要性，以及「該如何詢問資安專家」，以提升中小企業的資安意識，協助他們與大型企業交流。

從 1.0 升級至 2.0 資安長

談到資安長一職的設置，梶浦敏範從日本企業的經驗來看，過去以防禦思維為主的資安長，可說是「1.0 版」，此類資安長的主要任務，通常為找出資安風險、制定資安計畫、對應資安事件，以及對外的資安報告等。

「然而在企業進行數位轉型之後，資安長也要升級成 2.0 版，化被動為主動，成為『攻擊型』的資安長。」梶浦敏範表示 2.0 版資安長必須主動接觸事業核心，幫助經營者與顧客、市場及股東說明資安投資、預測資安風險，改革並引導企業資安方針。

微軟亞洲首席資安官花村実也贊同此觀點，「企業擁抱數位轉型之後，業務利潤之所在，往往也是資安事件之所在。」，因此資安長若能夠以業務為導向來制訂資安策略，將能夠有效控制企業所面臨的資安風險。

但「資安長 2.0 版」顯然對人才的要求更高，一方面要了解 IT 與資安技術，另一方面還要了解企業經營與策略，中小企業該如何在資源有限的情況下，招募合格的資安長？

梶浦敏範表示日本政府目前針對企業的資安投資有補助計畫，日本企業會彼此串連在一起，透過雲端進行數位轉型，取得政府補助後，可共同來規劃資安方案。花村実也指出目前日本的法規並沒有針對企業未招募資安長而設立罰則，但有提供指導方針，「日本企業向來非常配合政府的政策，只要政府『拜託』企業來進行的事項，企業及公會多半會想辦法來達成。」花村実說道。

雲端平台在企業資安的優勢

花村実與梶浦敏範都有談到雲端平台對於中小企業在資安管理方面的優勢，微軟在 5 年前即擴大資安相關投資至 200 億美元，結合人員、流程和技術，透過持續監控數百萬網路活動記錄、安全事件訊息，更新使用者行為分析，即時檢測並統計異常，幫助識別潛在的危害發生。

朱以方表示台灣微軟在 4 月將為企業啟動 CISO Salon 計劃，讓企業的資安團隊藉由此平台齊聚學習、交流與分享，內容涵蓋技術法規、市場趨勢及人才培育。