サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

最終更新日：2023年4月5日

独立行政法人情報処理推進機構
セキュリティセンター

独立行政法人情報処理推進機構（IPA）は、3月30日に「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集第3版」（以下、第3版）を発行しました。これは、2017年11月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドラインVer2.0（以下、経営ガイドライン）」の「重要10項目」の実践に必要な事例を充実させたものです。

IPAでは、「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」（以下、2020年度調査）を実施し、企業のサイバーセキュリティ推進における課題、プラクティス集の利用実態やニーズなどを踏まえたプラクティス集の望ましい在り方を明らかにしました。第3版は2020年度調査の結果を踏まえ、第2章と第3章の内容を充実させたもので、サイバー攻撃の対策強化に役立ちます。

主な改訂内容

第2章：経営ガイドラインの付録A「チェックシート」より、「指示1」（対応方針）、「指示5」（リスク対策）、「指示6」（PDCA）、「指示7」（緊急対応体制）のチェック項目に関するプラクティスを追加
- プラクティス1-3：海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
- プラクティス5-3：セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
- プラクティス6-2：一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
- プラクティス6-3：ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫
- プラクティス7-3：インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順
- プラクティス7-4：想定されるインシデントについてのセキュリティ分析計画の事前策定
第3章：情報セキュリティ10大脅威2022の「組織」向け脅威より、1位「ランサムウェアによる被害」、3位「テレワーク等のニューノーマルな働き方を狙った攻撃」、4位「サプライチェーンの弱点を悪用した攻撃」、5位「内部不正による情報漏えい」に関するセキュリティ担当者の悩みについてのプラクティスを追加
- 悩み（7）：内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
- 悩み（14）：サプライチェーンの委託先企業がセキュリティ対策に協力的でない
- 悩み（16）：ランサムウェア感染による事業停止を回避したい
- 悩み（18）：テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい
第3版を作成するために実施した企業インタビュー調査で得られた「指示5」と「指示6」に関するプラクティスのうち、事例で紹介できなかったものをミニプラクティスとして掲載

プラクティス集の構成と特徴

本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。

全体としてCISO等やセキュリティ担当者向の内容ですが第1章は経営者向けの内容となっています。本プラクティス集の構成は以下の通りです。