情報処理推進機構(IPA)は3月25日、経済産業省の「サイバーセキュリティ経営ガイドライン」を企業や組織が実践するための事例集「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」を新たに公開した。同ガイドラインにある「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例をまとめている。
事例集は、2017年11月に更改された「サイバーセキュリティ経営ガイドライン Ver.2」で示している下記の重要10項目について、経営者とCISO(最高情報セキュリティ責任者)などサイバーセキュリティを担当する人材向けにその実践方法を解説している。
サイバーセキュリティ経営ガイドラインが指示する「重要10項目」
- サイバーセキュリティリスクの認識、組織全体での対応方針の策定
- サイバーセキュリティリスク管理体制の構築
- サイバーセキュリティ対策のための資源(予算、人材など)確保
- サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
- サイバーセキュリティリスクに対応するための仕組みの構築
- サイバーセキュリティ対策におけるPDCAサイクルの実施
- インシデント発生時の緊急対応体制の整備
- サプライチェーンセキュリティ対策の推進
- ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策および状況把握
- 情報共有活動への参加を通じた攻撃情報の入手とその有効活用および提供
セキュリティ対策実践者における“よくある”「悩み」とそれに対する「取組み」(出典:IPA)
また事例集では、重要10項目の実施の妨げとなる課題やセキュリティ担当者の悩みについても触れ、それら課題の解決で実際に試みられた工夫例も取り上げている。
セキュリティ担当者の悩みおよび「重要10項目」と対比させたプラクティス(出典:IPA)
現行のガイドラインは、米国立標準技術研究所(NIST)が策定した「サイバーセキュリティフレームワーク」との整合性が意識され、2015年に公表された初版からサイバー攻撃の検知やインシデント対応などの取り組みを強化する内容が追加された。IPAによれば、ガイドラインにある重要10項目の実践について、具体的な事例や手順、着手の際の考え方などを把握、理解する必要があるとの声が寄せられ、今回の事例集を公開したという。
