情報処理推進機構(IPA)は3月25日、経済産業省が作成した「サイバーセキュリティ経営ガイドライン」に基づいて企業がセキュリティ対策状況を把握できる「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」を公開した。
同ツールは、企業自身でサイバーセキュリティの実践状況をセルフチェックし、可視化できる。企業が状況を定量的に把握することで、サイバーセキュリティに関する方針の策定や適切なセキュリティ投資の実行などができるという。
ツールはExcelシートで提供され、「使い方ガイド」「チェックリスト」「可視化結果」の3種類で構成される。利用方法は、チェックリストの39個の質問にセルフチェックで回答する。回答方式は成熟度モデルで、5段階で選択する。全ての質問に回答すると、レーダーチャートによる可視化結果シートの表示が自動的に更新される。
「サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版」(抜粋)
併せて「CISOなどの役割および対策の取り組み状況を把握するための調査」の結果も公表した。2019年10月に、従業員301人以上でCISO(最高情報セキュリティ責任者)などを任命している国内企業へアンケートしたもので、有効回答数は534件になる。
それによると、CISOなどがいる組織でセキュリティに関する事業リスクを分析しても評価していないケースが32.4%あり、リスク分析もしていない組織が21.0%に上った。事業におけるITの依存度が高い組織に限っても、評価していないケースが30.7%、リスク分析をしていないケースが16.5%あった。
セキュリティリスクの事業リスク評価への活用(単一回答)、出典:IPA
セキュリティに関する課題では、リスクの可視化が困難もしくは不十分とする回答が45.7%で最も多い。IPAでは、セキュリティ対策においてリスク分析が必須ながら、「調査結果でリスク分析をすることに何らかの難しさがあると推察される」と指摘する。
今回公開したツールはβ版で、IPAはセキュリティの実態把握や事業リスク評価などに活用されるよう2020年度以降もブラッシュアップを続ける予定。今後の正式版(Ver.1.0)では内容が変わる可能性があるという。
