プレス発表　「サイバーセキュリティ経営ガイドラインVer 2.0 実践のためのプラクティス集」を公開

2019年3月25日
独立行政法人情報処理推進機構

ガイドラインには、サイバーセキュリティ対策において経営者が認識する必要のある「3原則」および経営者がCISO等の担当幹部に指示すべき「重要10項目」が示されています。
その「重要10項目」を実践するには、具体的な事例から手順や着手の際の考え方などを把握・理解する必要があるという声が寄せられていました。そこで、産業サイバーセキュリティ研究会ワーキンググループ2（経営・人材・国際）^(脚注3)により、施策として多数のセキュリティ実践事例を体系化したプラクティスの作成が打ち出されました。

これを受けてIPAは各「重要10項目」に対策の取組み事例をプラクティスとして対応させ、かつセキュリティ担当者の悩み別にプラクティスを分類（図2）した本プラクティス集を作成しました。
本プラクティス集は、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を“とっつきやすさに配慮”して記載しています。

例えば、対策実践者における“よくある”「悩み」とそれに対する「取組み」を1ページの見開きで解説しています。この解説では文字を最小限に、ピクトグラムや図を多用した視覚に訴える表記に努め、“とっつきやすさ”を追求しています(図1)。また、付録にはサイバーセキュリティに関する用語集や参考情報のリンク集を収録し、不明な点もこの1冊で解消できることを念頭に置きました。その結果、本プラクティス集が積極的に利活用されることを狙っています。

なお、想定読者は以下のとおりです。

• サイバーセキュリティに向けてリスクマネジメントを強化したい経営者
• サイバーセキュリティ対策を実施する上での責任者となる担当幹部
• サイバーセキュリティ対策の実行責任者や担当者、CSIRTのメンバーなど
• 上記人材の育成や支援を担当する社内部門や社外の事業者

図1：セキュリティ対策実践者における“よくある”「悩み」とそれに対する「取組み」

図2：セキュリティ担当者の悩みおよび「重要10項目」と対比させたプラクティス

本プラクティス集では今後も継続して「重要10項目」実践の取組み事例をプラクティスとして拡充していく計画です。

IPAでは、本プラクティス集によりガイドラインが積極的に参照され、経営層のサイバーセキュリティへの意識が向上し、対策が一層推進されることを期待しています。

• （脚注1）2017年11月16日 経済産業省公開 サイバーセキュリティ経営ガイドラインと支援ツール
• （脚注2）経営者がCISO等の担当幹部に情報セキュリティ対策において指示すべき検討・実施項目
• （脚注3）経済産業省　産業サイバーセキュリティ研究会WG2 経済産業省：ワーキンググループ2（経営・人材・国際）