サイバーセキュリティ経営ガイドライン概説（4/4）

最終回の今回は、前回に続き、サイバーセキュリティ経営ガイドライン（以下「ガイドライン」と表記）の効果的な活用方法について解説します。

※前回までの記事
・サイバーセキュリティ経営ガイドライン概説（１／４）
・サイバーセキュリティ経営ガイドライン概説（２／４）
・サイバーセキュリティ経営ガイドライン概説（３／４）

●サイバーセキュリティ経営の重要10項目の実践事例を知るには

サイバーセキュリティ経営可視化ツール等によって自組織の現状や課題を把握したら、次はガイドラインの要求事項を実践する具体的な方法を検討したり、予算や体制整備を図ったりする必要があるでしょう。このような段階において参考となるのが「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集 第4版」（以下「プラクティス集」と表記）です。

このプラクティス集についても可視化ツールと同様にIPAのサイトで提供されています。

対象としている主な読者は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者です。

そうした方々が、例えば図に示すようなタイミングや場面において活用することを想定しています。

プラクティス集を利用するタイミングや場面の例
(https://www.ipa.go.jp/security/economics/hjuojm00000044dc-att/cms_practice_v4_1.pdf)

●プラクティス集の主な内容

それでは、プラクティス集の主な内容について見ていきましょう。

第２章では、企業での事例に基づいたガイドライン「サイバーセキュリティ経営の重要10項目」の実践手順、実践内容、取り組む際の考え方、ヒント等が示されています。

例えば、「指示5　サイバーセキュリティリスクに対応するための仕組みの構築」では、従業員500名規模の製造業H社の事例に基づき、同社のシステム環境の概要を説明した上で、次のように「多層防御の実施」がプラクティスとして紹介されています。

H社の事例に基づく指示５のプラクティス
(https://www.ipa.go.jp/security/economics/hjuojm00000044dc-att/cms_practice_v4_1.pdf)


続く第３章では、サイバーセキュリティ対策をこれから実践するセキュリティ担当者が対策を推進する上での悩みを18個挙げ、それを解決するために取り組んだ際の実践手順、内容、取り組む際の考え方、得られた知見等が事例で示されています。

例えば、悩み(11)では、従業員300名規模の小売業m社の「経営者にセキュリティ対策の事業遂行上の重要性を理解してもらえない」という状況を取り上げ、その解決に向けたアプローチや、そこから得られた知見がプラクティスとして紹介されています。

m社の悩みとその解決への取組事例に基づくプラクティス
(https://www.ipa.go.jp/security/economics/hjuojm00000044dc-att/cms_practice_v4_1.pdf)

●サイバーセキュリティ体制の強化を図るには

ガイドラインの要求事項を実践する上で、サイバーセキュリティ体制の強化は多くの組織で重要な課題となる可能性が高いでしょう。
この課題に取り組む上で参考となるのが、ガイドラインの別添資料として提供されている「付録F　サイバーセキュリティ体制構築・人材確保の手引き 第2.0版」（以下「手引き」と表記）です。

この手引きは、ガイドライン「サイバーセキュリティ経営の重要１０項目」の「指示２ サイバーセキュリティリスク管理体制の構築」と「指示３ サイバーセキュリティ対策のための資源（予算、人材等）確保」について具体的な検討を行う場合の参考となることを目的として作成されました。

前半の「サイバーセキュリティリスクの管理体制の構築」では、企業におけるリスクマネジメント活動の一部として、セキュリティ対策及びセキュリティインシデント対応について、CISO や経営層を補佐してセキュリティ対策を組織横断的に統括する「セキュリティ統括機能」を設置するのが有効であり、その形態として「専門組織型」「委員会型」等があると解説しています。

セキュリティ統括機能のイメージ
(https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf)

後半の「サイバーセキュリティ関連タスクを担う人材の活用」では、不足するセキュリティ人材を確保する方法、セキュリティ統括人材及びセキュリティ担当者の確保のポイント等のほか、「プラス・セキュリティ」の重要性について解説しています。

「プラス・セキュリティ」とは、自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できる能力を身につけること、あるいは身につけている状態と定義しています。
「プラス・セキュリティ」は、本来あらゆる業務において必要ですが、セキュリティ対策業務として明示的に位置づけられてはいないものの、対策が不十分な場合にはセキュリティ上の問題が生じるような業務を担っている人材にとっては特に重要です。

その他、具体的なセキュリティ人材の教育プログラムや有効な試験・資格等、組織がサイバーセキュリティ体制の強化を図る上で参考となる情報が数多く掲載されています。


今回ご紹介したガイドラインをはじめ、各種付録や補助ツール、参考資料等は、業種や規模を問わず、多くの組織にとって有用なものと考えます。
既に様々なセキュリティ施策を実施し、サイバーセキュリティ強化に取り組んでいる組織の方は、その充足度や残課題等の確認に、これから取り組もうとしている組織の方は、その第一歩を踏み出すために活用いただいてはいかがでしょうか。