HOME情報セキュリティ資料・報告書・出版物調査・研究報告書サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

本文を印刷する

情報セキュリティ

サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

最終更新日 2022年3月30日
独立行政法人情報処理推進機構
セキュリティセンター

 独立行政法人情報処理推進機構(IPA)は、3月30日に「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」(以下、第3版)を発行しました。これは、2017年11月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドライン Ver 2.0(以下、経営ガイドライン)」の「重要10項目」の実践に必要な事例を充実させたものです。

 IPAでは、「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」(以下、2020年度調査)を実施し、企業のサイバーセキュリティ推進における課題、プラクティス集の利用実態やニーズなどを踏まえたプラクティス集の望ましい在り方を明らかにしました。第3版は2020年度調査の結果を踏まえ、第2章と第3章の内容を充実させたもので、サイバー攻撃の対策強化に役立ちます。

主な改訂内容
  • 第2章:経営ガイドラインの付録A「チェックシート」より、「指示1」(対応方針)、「指示5」(リスク対策)、「指示6」(PDCA)、「指示7」(緊急対応体制)のチェック項目に関するプラクティスを追加


  •  プラクティス1-3:海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
     プラクティス5-3:セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
     プラクティス6-2:一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
     プラクティス6-3:ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫
     プラクティス7-3:インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順
     プラクティス7-4:想定されるインシデントについてのセキュリティ分析計画の事前策定

  • 第3章:情報セキュリティ10大脅威2022の「組織」向け脅威より、1位「ランサムウェアによる被害」、3位「テレワーク等のニューノーマルな働き方を狙った攻撃」、4位「サプライチェーンの弱点を悪用した攻撃」、5位「内部不正による情報漏えい」に関するセキュリティ担当者の悩みについてのプラクティスを追加


  •  悩み(7):内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
     悩み(14):サプライチェーンの委託先企業がセキュリティ対策に協力的でない
     悩み(16):ランサムウェア感染による事業停止を回避したい
     悩み(18):テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい

  • 第3版を作成するために実施した企業インタビュー調査で得られた「指示5」と「指示6」に関するプラクティスのうち、事例で紹介できなかったものをミニプラクティスとして掲載

プラクティス集の構成と特徴

 本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。

 全体としてCISO等やセキュリティ担当者向の内容ですが第1章は経営者向けの内容となっています。本プラクティス集の構成は以下の通りです。
 
 はじめに
 第1章 経営とサイバーセキュリティ
 第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
 第3章 セキュリティ担当者の悩みと取組みのプラクティス
 付録  サイバーセキュリティに関する用語集
     サイバーセキュリティ対策の参考情報

 第2章では、サイバーセキュリティ強化のために実践していただきたいファーストステップを、重要10項目ごとにまとめています。第3章では、事例の妨げとなる課題やセキュリティ担当者の悩みに対し、実際に試みられた工夫の事例を紹介しています。


図1:重要10項目ごとにまとめたプラクティス(第2章)
図1:重要10項目ごとにまとめたプラクティス(第2章)

図2:セキュリティ担当者の悩みと取組のプラクティス(第3章)
図2:セキュリティ担当者の悩みと取組のプラクティス(第3章)

プラクティス集等のダウンロード

プラクティス集 第3版をダウンロードされる方は、こちらからお願いします。

プラクティス・ナビ

 「プラクティス・ナビ」は、経営ガイドラインは読んだが、どのプラクティスを参照すべきかと考えている方のためのサイトです。「カテゴリ」「トピック」「レベル」を選択することで、自社の課題や状況に合ったプラクティスを見つけ出すことができるでしょう。

  • 「カテゴリ」:経営ガイドラインに基づくプラクティスの分類

  • 「トピック」:プラクティスに関連するキーワード

  • 「レベル」:プラクティスの取り組みの難易度(レベル1、2)


プラクティス・ナビのご利用は以下のURLよりお進みください。
https://www.ipa.go.jp/security/economics/practice/

実施者

本件に関するお問い合わせ先

IPA セキュリティセンター セキュリティ対策推進部 セキュリティ分析グループ 安田/荒牧
TEL:03-5978-7530 FAX:03-5978-7513 E-mail:

更新履歴

2022年3月30日 第3版公開
2020年6月9日 冒頭表記の変更
2020年6月3日 第2版公開
2019年3月25日 第1版公開