IPA、セキュリティ経営ガイドの実践状況可視化ツールを公開

ZDNET Japan Staff

2020-03-25 16:26

 情報処理推進機構(IPA)は3月25日、経済産業省が作成した「サイバーセキュリティ経営ガイドライン」に基づいて企業がセキュリティ対策状況を把握できる「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を公開した。

 同ツールは、企業自身でサイバーセキュリティの実践状況をセルフチェックし、可視化できる。企業が状況を定量的に把握することで、サイバーセキュリティに関する方針の策定や適切なセキュリティ投資の実行などができるという。

 ツールはExcelシートで提供され、「使い方ガイド」「チェックリスト」「可視化結果」の3種類で構成される。利用方法は、チェックリストの39個の質問にセルフチェックで回答する。回答方式は成熟度モデルで、5段階で選択する。全ての質問に回答すると、レーダーチャートによる可視化結果シートの表示が自動的に更新される。

「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」(抜粋)
「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」(抜粋)

  併せて「CISOなどの役割および対策の取り組み状況を把握するための調査」の結果も公表した。2019年10月に、従業員301人以上でCISO(最高情報セキュリティ責任者)などを任命している国内企業へアンケートしたもので、有効回答数は534件になる。

 それによると、CISOなどがいる組織でセキュリティに関する事業リスクを分析しても評価していないケースが32.4%あり、リスク分析もしていない組織が21.0%に上った。事業におけるITの依存度が高い組織に限っても、評価していないケースが30.7%、リスク分析をしていないケースが16.5%あった。

セキュリティリスクの事業リスク評価への活用(単一回答)、出典:IPA
セキュリティリスクの事業リスク評価への活用(単一回答)、出典:IPA

 セキュリティに関する課題では、リスクの可視化が困難もしくは不十分とする回答が45.7%で最も多い。IPAでは、セキュリティ対策においてリスク分析が必須ながら、「調査結果でリスク分析をすることに何らかの難しさがあると推察される」と指摘する。

 今回公開したツールはβ版で、IPAはセキュリティの実態把握や事業リスク評価などに活用されるよう2020年度以降もブラッシュアップを続ける予定。今後の正式版(Ver.1.0)では内容が変わる可能性があるという。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]