HOME情報セキュリティツールサイバーセキュリティ経営可視化ツール

本文を印刷する

情報セキュリティ

サイバーセキュリティ経営可視化ツール

最終更新日 2021年9月7日
独立行政法人情報処理推進機構
セキュリティセンター


サイバーセキュリティ経営可視化ツール(比較シート)に一部誤りがあり修正版を公開しました。 最新のサイバーセキュリティ経営可視化ツール(比較シート)をご利用ください。

サイバーセキュリティ経営可視化ツールとは

 「サイバーセキュリティ経営可視化ツール」は、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するための「サイバーセキュリティ経営ガイドラインVer2.0」(*1)ベースのWebサービスです。自社のサイバーセキュリティ対策状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資計画の策定等が可能となります。
 「サイバーセキュリティ経営可視化ツール」は、2020年3月に公開したβ版のユーザ企業へのヒアリング結果等を踏まえ、同業種平均との比較、対策が不十分な場合の参考情報の提示」(*2)、回答のヒントなどを追加・更新し、正式版としたものです。オフラインツールである「サイバーセキュリティ経営可視化ツール(比較シート)」を使用することで、グループ企業での比較を行うことも可能です(*3)
(*1) 経済産業省/IPA:「サイバーセキュリティ経営ガイドラインVer2.0」2017年11月公開 https://www.meti.go.jp/policy/netsecurity/mng_guide.html
(*2) 指示項目に関連するプラクティス(企業の取り組み事例、取り組む際の考え方、ヒントなど)を表示します。
(*3) グループ企業それぞれが「サイバーセキュリティ経営可視化ツール」の診断結果をCSV形式で出力し、それらのデータを読み込むことで、グループ企業同士の診断結果を比較します。

対象利用者

 原則として、従業員300名以上の企業・組織を対象としています。

※但し、従業員300名未満の企業・組織を対象としないものではなく、グループ企業との比較等にも活用可能です。
 また、中小企業向けにはより簡易な「5分でできる!情報セキュリティ自社診断」、中小企業の組織向けの「情報セキュリティ対策ベンチマーク」も提供しています。

利用開始

 「サイバーセキュリティ経営可視化ツール」は、IPAが運営している「情報セキュリティ対策支援サイト(*4)」における情報セキュリティ診断サービスの1サービスとして実装されています。「サイバーセキュリティ経営可視化ツール」のご利用にあたっては、本ページの「使い方ガイド」をよくお読みになってください。「サイバーセキュリティ経営可視化ツール」による診断は、以下のURLよりお進みください。

「情報セキュリティ診断」:https://security-shien.ipa.go.jp/diagnosis/

<利用者情報の登録>
 「情報セキュリティ対策支援サイト」へのログインには、利用者番号とパスワードが必要です。利用者番号は、「情報セキュリティ対策支援サイト」の画面最上部の「利用者登録」より利用者情報を登録することで発行されます。なお、未ログインでも「サイバーセキュリティ経営可視化ツール」はご利用可能ですが、過去の診断結果との比較ができないなど、機能に制限がかかります。
(*4) 主に中小企業の情報セキュリティ対策を支援、および中小企業への情報セキュリティの普及啓発活動を支援するサイトです。より簡易な診断を行う「5分でできる!情報セキュリティ自社診断」や、「情報セキュリティ対策ベンチマーク」、社員教育用コンテンツ、情報セキュリティセミナーのサポートなどのサービスを提供しており、今回公開する「サイバーセキュリティ経営可視化ツール」と併用することで、さらなるサイバーセキュリティ対策強化が期待されます。
https://security-shien.ipa.go.jp/

使い方ガイド

回答にあたって

 回答はサイバーセキュリティ対策を実施する上での責任者となる担当幹部(CISO等)が回答を記入し、最終的には経営者が回答内容を確認・承認してください。
 設問は、第一部サイバーセキュリティ経営(計39問)と第二部事業内容について(計8問)の二部構成となっています。合計47問すべてに回答してください。

※経営者:取締役がいる会社の場合は取締役、いない会社・組織の場合は相当する権限を持った経営層
※CISO:Chief Information Security Officer

第一部 サイバーセキュリティ経営について(計39問)

 「サイバーセキュリティ経営ガイドラインVer2.0」の実施状況について、計39個の設問に回答します。回答方式は成熟度モデルで、5段階の選択式です。各質問について、回答のヒントを参照しながら自社の状況(成熟度)に最も近い選択肢を選んでください。

第二部 事業内容について(計8問)

 事業内容について、計8個の設問に回答します。設問内容を読み、事業内容に最も近い選択肢を選んでください。

利用方法

ケース1) 企業が単独で診断を行う

 診断は以下の手順で行います。すべての操作は、Web上で行います。なお、関連するプラクティスは、診断の結果、対策が不十分な場合に表示されます。

図1.企業が単独で診断を行うケース

ケース2)グループ企業同士で診断結果を比較する

 先ず、グループ企業の診断担当者がそれぞれWebサイトにて診断を以下の手順①~④で行います。次に、「サイバーセキュリティ経営可視化ツール(比較シート)」(ここからダウンロード)を用いて、グループ企業全体の取り纏め担当者が診断結果の比較を以下の手順⑤,⑥で行います。

図2.グループ企業同士で診断結果を比較するケース

注意事項

回答前の準備

対象範囲(スコープ)の決定

 本ツールの可視化チェック対象範囲は原則として「企業」ですが、企業内のガバナンス状況等によっては「本社」「支社」「工場」「事業部門」「海外拠点」等の単位とすることもできます。できるだけ正確な診断のため、スコープを決めてから回答してください。

エビデンスとなる文書類の準備

 自社のサイバーセキュリティに関する文書類を手元に用意しておくと、スムーズかつ正確に回答することができます。
 例:
  • セキュリティ基本方針(セキュリティポリシー)
  • セキュリティ関連規程
  • セキュリティ体制図(全社のセキュリティ関連の体制図、報告ルート、人材配置等)
  • セキュリティの技術的対策文書(セキュア開発の規程、実施中の対策リスト、運用方針等)
  • セキュリティリスク管理のKPI一覧
  • インシデント対応・復旧関連文書
  • サプライチェーンセキュリティ関連文書

回答にあたって

 正確な可視化を行うため、上記の文書類等のエビデンスをできるだけ確認しながら回答してください。不明点があれば社内の関係者に確認等してください。
 各質問の選択肢は、利用者の負荷を軽減するためシンプルな文にしています。その結果、選択肢が指すものがイメージできない場合は、「回答のヒント」列の例示等を参考にしてください。
 異なる役職・立場の複数人でクロスチェックすることにより回答の精度を高めることも有効です。支援サイトの「サイバーセキュリティ経営可視化ツール」へ入力する前の準備や複数人でのクロスチェック用として、「サイバーセキュリティ経営可視化ツール(比較シート)」のご活用をお勧めします。
 自社の予算・技術力に関わらず、セキュリティのあるべき姿に対してどこまでできているかを判定してください。

サイバーセキュリティ経営可視化ツール(比較シート)のダウンロード

 「サイバーセキュリティ経営可視化ツール(比較シート)」は、グループ企業同士での診断結果の比較を行うためのオフラインツールです。また、支援サイトの「サイバーセキュリティ経営可視化ツール」へ入力する前の準備や複数人でのクロスチェック用としてもご活用できます。以下よりダウンロードしてください。「サイバーセキュリティ経営可視化ツール(比較シート)」の使い方は、ダウンロードしたExcelファイルのシート「使い方ガイド」をご覧ください。

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 セキュリティ分析グループ 安田/半貫
TEL:03-5978-7530 FAX:03-5978-7514 E-mail:

更新履歴

2021年9月7日 サイバーセキュリティ経営可視化ツール(比較シート)の一部計算式の誤りを修正
2021年8月17日 正式版公開
2020年3月25日 β版公開