「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

最終更新日：2021年4月5日

独立行政法人情報処理推進機構
セキュリティセンター

経済産業省と独立行政法人情報処理推進機構（以下「IPA」）は、2017 年に共同でサイバーセキュリティ経営ガイドラインVer2.0（以下「経営ガイドライン」）を発行しました。これを受け、IPA では企業等がセキュリティ対策等の実践に踏み出すきっかけとなるよう、2019 年3 月に「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」（以下「プラクティス(*1)集」）第1 版を発行。更に、2020 年6 月には経営ガイドラインの「重要10項目」の実践に必要な事例を充実させるなどした、第2 版(*2)を発行しました。

プラクティス集は、サイバーセキュリティ対策について何から始めるべきかと考えている読者に向けて、ファーストステップとなり得る事項を提示しており、公表から10,000以上の企業ユーザーがダウンロードするなど一定の評価を得ていますが、改めて企業のニーズを確認・整理し、より使いやすいプラクティス集を目指すため、プラクティス集の利用実態やプラクティスへの要望等の調査を実施しました。なお、本調査では、各企業の事業がITに依存する割合から企業を4つのカテゴリーに分類し、企業ニーズの分析を実施しました。

1．調査概要

(1) 調査名	「2020 年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」
(2) 調査期間	2020年10月～2021年2月
(3) 文献調査	国内外のサイバーセキュリティやITに関する対策事例集 5文献国内のダイバーシティ経営に関する事例集 1文献
(4) 有識者インタビュー	情報セキュリティ関連団体に属する有識者 2名セキュリティベンダー、ユーザー系IT企業経営者 1名航空/情報通信系企業のセキュリティ担当者 1名
(5) 企業インタビュー	CISO 等またはその実際の活動を良く知る役職員 6名
(6) アンケート調査	Webアンケート調査およびアンケート票調査従業員数301人以上かつ、情報システム部門、情報セキュリティ部門・リスク管理部門等を設置している国内企業

2．調査結果の抜粋

アンケート調査

各企業の事業がどの程度ITに依存しているかという「IT依存度」を定義（表1）し、有効回答者数929件を4つのカテゴリーに分類し、企業ニーズを分析。（調査報告書P28）

IT依存度による企業分類

IT依存度:高い

カテゴリー1(280件)
- ITシステム・ITサービスが事業上必要不可欠な要素であり、その停止は事業全体または重要な事業の停止に繋がる
カテゴリー2(428件)
- 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しており、その停止は事業の一部に大きく影響する

IT依存度:低い

カテゴリー3(169件)
- 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しているが、ITに依存しない代替手段等があるため、一時的な停止であれば事業への影響は小さい
カテゴリー4(52件)
- ITシステム・ITサービスは主に社内業務等に利用するのみで、その停止は事業にあまり影響しない

カテゴリー1は、「金融、保険業」での割合が最も高く25.0%。「卸売業、小売業」「情報通信業」においても比較的高い傾向。（「IT依存度」：高い）
カテゴリー2と3は、ともに「製造業」の割合が最も高い。（「IT依存度」：中程度）
カテゴリー4は、「サービス業（他に分類されないもの）」の割合が最も高く26.9%。（「IT依存度」：低い）

図1：業種ごとのカテゴリー分類状況

(1)プラクティス集を利活用する目的（または、今後利活用する目的として想定されるもの）＜複数選択＞

カテゴリー1：「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%。
カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている（対策の必要性が新たに生じた）テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%、プラクティス集の当初の目的に適った活用がされていることがわかる

図2：プラクティス集を活用する目的（調査報告書P34）

(2)構成・内容についての要望

カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。

図3：構成・内容についての要望（同P35）

有識者・企業インタビュー調査

プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。（同P64、P74）

体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。

まとめ

アンケート調査では、プラクティス集の利活用の実態や構成・内容に関するニーズを把握できたものの、カテゴリーによって企業ニーズは異なる傾向。共通するニーズとして、検索性の高いWebコンテンツとしての提供のニーズが高い。インタビュー調査では、体制構築が一定程度進んだ企業を念頭に、実践的な対策内容を確認したいというニーズが高い。また、現在の第2章と第3章の構成が有効であることを確認。これらの結果より、プラクティス集を活用する読者として次のような3類型の企業像が導かれた。現在のプラクティス集では、セキュリティ対策を何から始めるべきかと考えている読者を想定しており、企業像(3)のニーズに合致。今後は、企業像(1)や(2)のニーズにも対応していくとともに、第2章と第3章の内容充実に努める。（同P75）

企業像(1)

基本的なサイバーセキュリティ体制の構築が既に図られた組織である。
DXやテレワークの推進等、ITやセキュリティに関連する新たな取組みに際し、更なる体制強化の必要性を強く認識している。
一定の対策は行っており経験値もあるが、より具体性の高いテーマを取り扱う、第3章「セキュリティ担当者の悩みと取組みのプラクティス」のニーズが高いと想定される。

企業像(2)

企業像(1)とほぼ同じだが、体制強化よりも、遅れているテーマや新たに生じたテーマに関する「はじめの一歩」として具体的な対策の必要性を感じている。
可視化ツールで自社の状況を把握するとともに、対策を補強するプラクティスをレコメンドする機能は有効に活用されると考えられる。

企業像(3)

これからサイバーセキュリティ体制を構築する組織である。
サイバーセキュリティ対策を何から始めればよいかわからないという悩みを抱えている。
体制構築の「はじめの一歩」として、プラクティス集の第2章「サイバーセキュリティ経営ガイドライン実践のプラクティス」全体を読み込み、必要な対策の全体像を把握する。
次に可視化ツールで自社の課題から優先的に取組むべきポイントを把握し、対策に取り込む。