「サイバーセキュリティ経営ガイドライン」のプラクティス集をウェブコンテンツ化
IPA、サイバーセキュリティー対策の実践事例を検索できるサイトを公開
2022年03月30日 18時30分更新
IPA(情報処理推進機構)は3月30日、「サイバーセキュリティ経営ガイドライン」を実践するうえで参考となる事例やヒントを検索するためのウェブサイトを公開した。
IPAは、経営者向けにサイバーセキュリティー対策を推進するためのガイドラインである「サイバーセキュリティ経営ガイドライン」を経済産業省と共同で2015年に発行し、2017年に改訂版(Ver 2.0)を発行した。
さらに、本ガイドラインにおける「重要10項目」を企業が実践するにあたり、実施手順や取組の例、考え方やヒントなどを実際の事例に基づいて提供する「プラクティス集」を2019年に公開。プラクティス集は3章構成で、第1章で主に経営者向けに経営課題としてのサイバーセキュリティー対策の重要性を示し、第2章で「重要10項目」ごとの企業の取組事例、第3章でセキュリティー担当者の悩み別の企業の取組事例を紹介している。
今回、これまでPDFで公開していたプラクティス集の第2章・第3章をウェブコンテンツ化し、「プラクティス・ナビ」として公開した。本サイトでは、「多層防御」「リスク分析」といったキーワードを選択することで、自社の状況に合ったプラクティスを検索できる。サイバー攻撃対策やインシデント対応の強化に向けて、何から着手すればいいのかわからず、他社の対策を参考にしたいというマネジメント層が、ヒントを探しやすくなるとする。
同時に、プラクティス集についても2020年に公開した第2版を拡充し、「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版」として公開した。「ランサムウェアによる被害」や「テレワーク等のニューノーマルな働き方を狙った攻撃」、「サプライチェーンの弱点を悪用した攻撃」など、セキュリティー担当者の悩みについての実際の事例などを追加している。今回新たに追加した項目は以下のとおり。
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
1-3 海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
5-3 セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
6-2 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
6-3 ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫
7-3 インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順
7-4 想定されるインシデントについてのセキュリティ分析計画の事前策定
第3章 サイバーセキュリティ対策を推進する担当者の悩みと取組のプラクティス
7 内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
14 サプライチェーンの委託先企業がセキュリティ対策に協力的でない
16 ランサムウェア感染による事業停止を回避したい
18 テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい