情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス6-1 PDCAサイクルの検証と、演習・訓練を通じた評価・改善プロセスの強化

プラクティス6-1 PDCAサイクルの検証と、演習・訓練を通じた評価・改善プロセスの強化

公開日:2026年4月28日

背景

従業員数1,500名規模の小売業であるM社では、サイバーセキュリティに関する目標と取組計画を策定している。情報システム部が主導する技術的な対策は計画通り進捗している一方で、従業員による不審メールの開封や無許可の業務用PCの持ち出し等が依然として頻発していた。各店舗におけるチェックシートを活用した点検に特段の課題は見られなかったため、情報システム部長は、店舗の業務とセキュリティの取組が切り離されており、取組計画の評価、改善が十分に機能していないと考えた。そこで、業務フローに踏み込んだ問題点の把握や対策の検討のため、セキュリティ評価の取組を見直すこととした。

M社の実践のステップ

情報システム部長が実践したステップは以下の2点である。

  1. セキュリティの評価や改善に関する取組を検証し、課題点を把握する
  2. 課題点である従業員の意識付けの不足を解消するため、演習・訓練を実施する

M社の実践内容

評価や改善についての現在の取組内容を検証したところ、現場でのチェックシートを活用した点検が形骸化しており、その結果、課題の発見に至らず有効な改善も実施されてこなかったことが把握できた。点検が形骸化した理由として、点検を実施する従業員への意識付けが不十分であると考えた情報システム部長は、新たに机上演習やグループ討議を実施することにした。

  • 図2-6.1 M社で実践したPDCAサイクルの改善の例は以下のテキスト版をご確認ください。
    図2-6.1 M社で実践したPDCAサイクルの改善の例
図2-6.1 M社で実践したPDCAサイクルの改善の例(テキスト版)

プラクティス改善前

  • CHECKで真の課題が把握さてなかった
  • ACTで課題が把握されないため、対策も講じられなかった
主な取組内容
P
サイバーセキュリティ取組計画の策定
D
サイバーセキュリティ対策の導入・運用
C
チェックシートによる点検(形骸化)
A
---

プラクティス改善後

  • CHECKで演習を通じてセキュリティの課題を把握
  • ACTで課題に対する改善策を実施(残存する課題も把握)
主な取組内容
P
サイバーセキュリティ取組計画の策定
D
サイバーセキュリティ対策の導入・運用
C
(改善前の内容に加えて)
机上演習やグループ討議の実施
A
社外メールの開封ルールの策定等具体的な改善策

情報システム部長は、机上演習やグループ討議の実施にあたり、参加者が実業務に関係する問題としてセキュリティを捉えられるよう、店舗の業務運営に関連するテーマを取り扱った。

  • 図2-6.2 M社で実践した机上演習やグループ討議のイメージ例は以下のテキスト版をご確認ください。
    図2-6.2 M社で実践した机上演習やグループ討議のイメージ例
図2-6.2 M社で実践した机上演習やグループ討議のイメージ例(テキスト版)

事前対応

  • 参加者に訓練用のダミーの標的型攻撃メールを事務局より事前に送付
  • 参加者に店舗の課題についての事前レポートを求める

当日の運営内容

机上演習・グループ討議

  • ロールプレイによるインシデント対応の疑似体験
    • マルウェア感染が疑われた場合の報告方法
    • 顧客情報が流失した場合の対応方法等
    • 標的型攻撃メール等についての現状の認識レベル
    • 自店舗で注意すべきメールの文面や形式
    • 上記の内容を店舗内に周知するための方法

また、参加者に対し、当日の気づきを踏まえて、後日自店舗のメンバーを集め、自店舗の課題や改善策の議論を行うよう徹底した。

M社では、こうした取組を毎年対象者を変えて実施している。その結果、各店舗において「多額の送金は、メールのみの依頼では対応せず、依頼先に電話確認するルールを策定した例」や、「朝礼で定期的に注意喚起を行うことにした例」等、具体的な改善が進んできている。

参考情報

PDCAサイクルを強化するための評価に関する取組として、情報システム部門等によるチェックリストを活用したセルフアセスメント(自己評価)や、独立した立場の専門家による第三者評価も有効である。(注釈)

  1. 注釈
    セルフアセスメント(自己評価)については、以下の資料も参考にできる。
  2. IPA:情報セキュリティ診断(リンク先は現在公開されていません)
    • https://security-shien.ipa.go.jp/diagnosis/
  3. IPA:サイバーセキュリティ経営可視化ツール(プラクティス4-2で詳細を説明)
表2-6.1 PDCAサイクルを強化するための評価に関する取組
評価に関する取組 内容

演習・訓練
-インシデントを想定した疑似対応を行うことで、個々の管理策について評価
-手間や時間がかかる一方で、具体的な課題の抽出に繋がりやすいとともに、従業員への意識付けも図られる

セルフアセスメント
(自己評価)
-チェックリスト等を活用した個々の管理策の効果や達成度の評価
-手間、時間、費用が少なくて済み、手軽に行うことが可能であるも、従業員の意識付けが不十分である場合、運用が形骸化することもある

第三者評価
-対策の導入や運用に関与していない独立の立場の専門家による客観的評価
-独立の専門家に依頼するため、実施には時間と手間と費用がかかる
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開