情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ

プラクティス・ナビ

公開日:2026年4月28日

「プラクティス・ナビ」(注釈1)は、企業が「サイバーセキュリティ経営ガイドライン」(注釈2)の重要10項目を実践する際に参考となる考え方やヒント、実施手順、実践事例を検索するためのサイトです。キーワードを選択することで、知りたいプラクティスを見つけることができます。

  1. 注釈1
    初めにお読みください
  2. 注釈2
    経済産業省:サイバーセキュリティ経営ガイドラインと支援ツール
ID タイトル
101 解説1 サイバー攻撃による企業活動への影響
102 解説2 なぜサイバーセキュリティ対策は経営課題か
103 解説3 経営者が認識すべき3原則と指示すべき重要10項目
200 指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
201 プラクティス1-1 経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告
202 プラクティス1-2 最新の脅威によるリスクに対応するための、セキュリティポリシーの改訂・共同管理
203 プラクティス1-3 海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
204 指示2 サイバーセキュリティリスク管理体制の構築
205 プラクティス2-1 サイバーセキュリティリスクに対応するための、兼任のサイバーセキュリティ管理体制の構築
206 指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
207 プラクティス3-1 サイバーセキュリティ対策のための、予算の確保
208 プラクティス3-2 経営層やスタッフ部門等の役割に応じた、リテラシーにとどまらないセキュリティ教育実践
209 プラクティス3-3 サイバーセキュリティ対策のための、必要なサイバーセキュリティ人材の定義・育成
210 指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
211 プラクティス4-1 経営への重要度や脅威の可能性を踏まえたサイバーセキュリティリスクの把握と対応
212 プラクティス4-2 『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告
213 指示5 サイバーセキュリティリスクに効果的に対応する仕組みの構築
214 プラクティス5-1 多層防御の実施
215 プラクティス5-2 サイバーセキュリティ対策において委託すべき範囲の明確化とその管理
216 プラクティス5-3 ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保
217 プラクティス5-4 セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
218 プラクティス5-5 事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり
219 プラクティス5-6 アクセスログの取得
221 指示6 PDCAサイクルによるサイバーセキュリティ対策の継続的改善
222 プラクティス6-1 PDCAサイクルの検証と、演習・訓練を通じた評価・改善プロセスの強化
223 プラクティス6-2 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
224 プラクティス6-3 ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫
226 指示7 インシデント発生時の緊急対応体制の整備
227 プラクティス7-1 司令塔としてのCSIRTの設置
228 プラクティス7-2 従業員の初動対応の規定
229 プラクティス7-3 想定されるインシデントについてのセキュリティ分析計画の事前策定
230 プラクティス7-4 CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積
231 プラクティス7-5 無理なく実践するインシデント対応演習
232 プラクティス7-6 インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順
233 指示8 インシデントによる被害に備えた事業継続・復旧体制の整備
234 プラクティス8-1 インシデント対応時の危機対策本部との連携
235 プラクティス8-2 組織内外の連絡先の定期メンテナンス
236 指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
237 プラクティス9-1 サイバーセキュリティリスクのある委託先の特定と対策状況の確認
238 プラクティス9-2 サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築
239 指示10 サイバーセキュリティに関する情報の収集、 共有及び開示の促進
240 プラクティス10-1 情報共有活動への参加による信頼獲得と、収集した知見の社内への還元
241 プラクティス10-2 「情報の共有・公表ガイダンス」を参考にCSIRTと社内外関係者との連携推進
242 プラクティス10-3 業界団体を活用したセキュリティ対策に関する情報共有活動
301 悩み(1) IT部門のみで経営層のセキュリティ意識を向上させることに限界を感じている
302 悩み(2)インシデント対応経験がない要員でCSIRTを組成したが対応に不安がある
303 悩み(3) 海外拠点のセキュリティ意識が低い
304 悩み(4) 従業員に対してセキュリティ教育を実施しているが効果が感じられない
305 悩み(5) IoT機器が「シャドーIT」化している
306 悩み(6) 自前でのシステム運用の負担が大きく、セキュリティ対策に不安を感じる
307 悩み(7) 内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
308 悩み(8) 全国各地の拠点におけるセキュリティ管理状況に不安がある
309 悩み(9) インシデント対応の初動における社内での情報共有に不安がある
310 悩み(10) スタートアップ企業のセキュリティ管理体制に不安を感じ、取引先として推奨できない
311 悩み(11) 経営層にセキュリティ対策の事業遂行上の重要性を理解してもらえない
312 悩み(12) 外部サービスの選定でIT部門だけでは対応が困難である
313 悩み(13) 効果的な演習をする方法がわからない
314 悩み(14) サプライチェーンの委託先企業がセキュリティ対策に協力的でない
315 悩み(15) インシデントが起きた際の財務面でのリスクヘッジが十分ではない
316 悩み(16) ランサムウェア感染による事業停止を回避したい
317 悩み(17) 工場のサイバーセキュリティ対策が急務となっている
318 悩み(18) テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい

お問い合わせ先

IPA セキュリティセンター リスクマネジメント部 セキュリティ制度グループ

  • E-mail

    isec-pr-csspアットマークipa.go.jp

更新履歴

  • 2026年4月28日

    新規公開