情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス4-2 『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告

プラクティス4-2 『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告

公開日:2026年4月28日

従業員数500名規模で衣料小売業を営むG社は、10年前の創業以来、大量仕入れのコストメリット拡大等の観点から同業企業の買収・統合を繰り返して成長してきた。店舗で用いる情報システムは将来的な統合を目指しつつ、一部の店舗においては旧社のシステム及び運用体制をそのまま継続している。

昨年、G社の仕入れ用のシステムがランサムウェアに感染し、システムそのものは再インストールで復旧できたものの発注内容の復元ができず、アクセスログ等をもとに仕入れ先に対してお詫びとともに発注内容の確認をお願いせざるを得なかった。G社の社長はこの事故を受け、再発防止には自社の情報システムの管理体制を見直す必要があると感じたものの、何を拠り所にすればよいのかわからず地元の社長仲間に相談したところ、「サイバーセキュリティ経営ガイドライン」(注釈1)(以下、「経営ガイドライン」)の指示事項を参考にしてはどうかとのアドバイスを受けた。社長はまず自社で同ガイドラインの指示事項をどの程度実践できているかを把握したいと考え、同社のIT部長(セキュリティ担当役員を兼務)に調査を指示した。

  1. 注釈1
    サイバーセキュリティ経営ガイドライン(経済産業省)

G社の実践のステップ

経営ガイドラインの実践状況の把握に関して、G社のIT部長が実践したステップは下記3点である。

  1. 経営ガイドラインが定める事項の実践状況を把握するためのツールの選定
  2. ツールを用いた自社における経営ガイドラインの指示事項の実践に関する実態のチェック
  3. 分析結果のとりまとめと社長への報告

G社の実践内容

社長から指示を受けたIT部長はまずセキュリティサービス事業者に自社の重要な情報システムを対象とする脆弱性診断を委託し、その結果をもとにランサムウェア感染の再発可能性がある箇所に対策を施した。
 
続いて自社のサイバーセキュリティ対策に関して経営ガイドラインの指示事項の実践状況を把握するための手段について検討し、結果としてIPAから公開されている「サイバーセキュリティ経営可視化ツール」(注釈2)(以下、「可視化ツール」)を利用することにした。同ツールを選択した理由は次の3点である。

  • 実践状況に関するチェック項目の構成と経営ガイドラインの指示事項との対応関係が明確である
  • 国内企業の業種別平均値と自社評価結果の数値での比較が可能である
  • 無料で利用できる
  1. 注釈2
    サイバーセキュリティ経営可視化ツール(IPA)

可視化ツールでは、次表の要領で組織のセキュリティ成熟度を表す選択肢により評価を行っている。このうち、担当者により判断がぶれると見込まれるチェック項目について、G社では下表に記載のような補足を付加した上で、IT部長から経営者や各担当者(旧社システム担当を含む)に回答を依頼した。

表2-4.3 可視化ツールのチェック項目例
指示分類 チェック項目 選択肢
 指示2

サイバーセキュリティリスク管理体制の構築

  2-2

サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にしている

  1  できていない又は部分的である
 2  役割と責任が文書化されている
 3  役割と責任が周知されている
 4  役割と責任が定期的に評価されている
 5  役割と責任が継続的に再定義されている
 
可視化ツールに示されている「回答のヒント」
 		  G社による補足
  【判断基準の例

- 役割分担や各要員の責任が職務記述書等の形で明記されていればレベル2

-  役割分担や各要員の責任が社内に周知され、インシデント発生時等に誰に問い合わせれば良いか等がどの社員から見ても明確になっていればレベル3

各要員が役割・責任を果たしているか、果たせるだけのスキルがあるかを定期的に評価されていればレベル4

評価の結果に応じて体制内の異動、役割変更等が適宜行われていればレベル5
-「定期的」は年1回以上

-「継続的」は変更の反映遅れ(四半期以上)が直近3年以内に生じていないこと

IT部長は可視化ツールを用いて下図のような評価結果を得て、G社の社長に報告した。社長は結果を確認した後、以下の2点についてIT部長に指示を行った。

  • 自社の評価結果のうち、小売業の平均から劣後している項目の原因と引き上げのための計画立案
  • 旧社のシステムを用いている店舗の結果のうち、当社システムより評価の高い項目について、旧社の取組で優れているものは社内で共有し、評価の低い項目については当社平均まで底上げを図る
  • グループ企業や取引先の担当者に可視化ツールを紹介し、自社と同様の活用を働きかける

その後、IT部長は全店舗のシステム共通化において、可視化ツールのチェック項目をもと達成すべき目標値と現状とのギャップを社長に示し、実態の改善に必要なリソース(要員、予算)の割当を受けた。

  • 図2-4.4 可視化ツールのチェック状況の評価結果は以下のテキスト版をご確認ください。
    図2-4.4 可視化ツールのチェック状況の評価結果
図2-4.4 可視化ツールのチェック状況の評価結果(テキスト版)

指示10項目の実施状況を5段階の評価軸で評価した結果をレーダーチャートで表示する

指示10項目

  1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  2. サイバーセキュリティリスク管理体制の構築
  3. サイバーセキュリティ対策のための資源(予算、人材等)確保
  4. サイバーセキュリティリスクに効果的に対応する仕組みの構築
  5. サイバーセキュリティリスクに効果的に対応する仕組みの構築
  6. PDCAサイクルによるサイバーセキュリティ対策の継続的改善
  7. インシデント発生時の緊急対応体制の整備
  8. インシデントによる被害に備えた事業継続・復旧体制の整備
  9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の状況把握及び対策
  10. サイバーセキュリティに関する情報の収集、共有及び開示の促進

5段階の評価軸(指示2の例)

指示2の2番目の質問

サイバーセキュリティリスクの管理に関する各関係者の役割と責任を明確にしている

  1. できていない又は部分的である
  2. 役割と責任が文書化されている
  3. 役割と責任が周知されている
  4. 役割と責任が定期的に評価されている
  5. 役割と責任が継続的に再定義されている
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開