初めにお読みください

IPAは、経済産業省とともに、経営者のリーダーシップの下でサイバーセキュリティ対策を推進するためのガイドラインである「サイバーセキュリティ経営ガイドラインVer3.0」(注釈1)（以下、経営ガイドライン）を発行しました。さらに、経営ガイドラインにおける「重要10項目」を実践する際の、実際に行われている施策に基づくサイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集第4版(注釈2)（以下、プラクティス集）や「重要10項目」の実践状況をセルフチェックで可視化するサイバーセキュリティ経営可視化ツール(注釈3)（以下、可視化ツール）などに関する取り組みを行っています。

1. 注釈1
   経済産業省：サイバーセキュリティ経営ガイドラインVer3.0
2. 注釈2
   IPA：サイバーセキュリティ経営ガイドラインVer3.0実践のためのプラクティス集第4版
3. 注釈3
   IPA：サイバーセキュリティ経営可視化ツール

本サイトでは、PDFで公開している「プラクティス集」の一部をウェブコンテンツ化し、「プラクティス・ナビ」として公開しました。本サイトでは、「多層防御」「リスク分析」といったキーワードを選択することで、知りたいプラクティスを簡単に検索することができます。サイバー攻撃対策やインシデント対応の強化に向けて、何から着手すればいいのかわからず、他社の対策を参考にしたいというマネジメント層が、ヒントを探しやすくなります。

なお、本サイトの事例は、作成当時の状況に基づいて作成した参考情報です。現在の制度・要件・技術動向等とは異なる場合がありますので、最新の情報については公式資料等をご確認ください。

IPAは、「プラクティス・ナビ」により、多くの企業がサイバーセキュリティ経営ガイドラインに紐づくプラクティスを参考にすることで、サイバーセキュリティ対策がさらに進んでいくことを期待しています。

タイトルについて

想定読者

• サイバーセキュリティに向けてマネジメントを強化したい経営者
• サイバーセキュリティ対策を実施する上での責任者となる担当幹部（以下、CISO等）
  • CISO(Chief Information Security Officer)：経営陣の一員、もしくは経営トップからその役を任命された、セキュリティ対策を実施する上での責任者のこと
• サイバーセキュリティ対策の担当者、CSIRTのメンバー等（以下、セキュリティ担当者）
  • CSIRT(Computer Security Incident Response Team)：インシデントの発生に対応するための体制のこと
• 上記人材の育成や支援を担当する社内部門や社外の事業者（以下、人材育成・支援担当者）

利用場面

どこからサイバーセキュリティの取組に着手してよいか分からない際に、はじめの一歩として実践事例や参考情報を活用したい。
経営ガイドラインに紐づく実践事例を参考に、サイバーセキュリティ対策の検討に役立てたい。
人材育成の担当者が教材として活用する、また企業おサイバーセキュリティ対策支援に役立てたい。

より良い実践のために

本サイトでは、企業へのアンケートおよびインタビューを通じて収集した、実際に行われている施策に基づいて、プラクティスを紹介します。プラクティスの基となった企業で実際に行われている施策は、それぞれの企業でのサイバーセキュリティに対する考え方や保有する人的および財務的リソース、企業風土や過去の経緯を踏まえて成立しているものです。

したがって、本サイトで紹介するプラクティスを読者が自社において実践する際には、そのまま実践するだけでなく各社のこれまでの施策等を踏まえ、適用可否や実践手順を柔軟に検討いただければ幸いです。また自社の現状に応じて実践内容を適切に変更することで、より高い効果が上がることも期待できます。