情報セキュリティ
最終更新日:2021年4月5日
独立行政法人情報処理推進機構
セキュリティセンター
経済産業省と独立行政法人情報処理推進機構(以下「IPA」)は、2017 年に共同でサイバーセキュリティ経営ガイドラインVer2.0(以下「経営ガイドライン」)を発行しました。これを受け、IPA では企業等がセキュリティ対策等の実践に踏み出すきっかけとなるよう、2019 年3 月に「サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集」(以下「プラクティス(*1)集」)第1 版を発行。更に、2020 年6 月には経営ガイドラインの「重要10項目」の実践に必要な事例を充実させるなどした、第2 版(*2)を発行しました。
プラクティス集は、サイバーセキュリティ対策について何から始めるべきかと考えている読者に向けて、ファーストステップとなり得る事項を提示しており、公表から10,000以上の企業ユーザーがダウンロードするなど一定の評価を得ていますが、改めて企業のニーズを確認・整理し、より使いやすいプラクティス集を目指すため、プラクティス集の利用実態やプラクティスへの要望等の調査を実施しました。なお、本調査では、各企業の事業がITに依存する割合から企業を4つのカテゴリーに分類し、企業ニーズの分析を実施しました。
(1) 調査名 |
「2020 年度 サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」 |
---|---|
(2) 調査期間 |
2020年10月~2021年2月 |
(3) 文献調査 |
|
(4) 有識者インタビュー |
|
(5) 企業インタビュー |
|
(6) アンケート調査 |
Webアンケート調査およびアンケート票調査 |
各企業の事業がどの程度ITに依存しているかという「IT依存度」を定義(表1)し、有効回答者数929件を4つのカテゴリーに分類し、企業ニーズを分析。(調査報告書P28)
カテゴリー1:「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%。
カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている(対策の必要性が新たに生じた)テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%、プラクティス集の当初の目的に適った活用がされていることがわかる
カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。
プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。(同P64、P74)
体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。
アンケート調査では、プラクティス集の利活用の実態や構成・内容に関するニーズを把握できたものの、カテゴリーによって企業ニーズは異なる傾向。共通するニーズとして、検索性の高いWebコンテンツとしての提供のニーズが高い。インタビュー調査では、体制構築が一定程度進んだ企業を念頭に、実践的な対策内容を確認したいというニーズが高い。また、現在の第2章と第3章の構成が有効であることを確認。これらの結果より、プラクティス集を活用する読者として次のような3類型の企業像が導かれた。現在のプラクティス集では、セキュリティ対策を何から始めるべきかと考えている読者を想定しており、企業像(3)のニーズに合致。今後は、企業像(1)や(2)のニーズにも対応していくとともに、第2章と第3章の内容充実に努める。(同P75)
基本的なサイバーセキュリティ体制の構築が既に図られた組織である。
DXやテレワークの推進等、ITやセキュリティに関連する新たな取組みに際し、更なる体制強化の必要性を強く認識している。
一定の対策は行っており経験値もあるが、より具体性の高いテーマを取り扱う、第3章「セキュリティ担当者の悩みと取組みのプラクティス」のニーズが高いと想定される。
企業像(1)とほぼ同じだが、体制強化よりも、遅れているテーマや新たに生じたテーマに関する「はじめの一歩」として具体的な対策の必要性を感じている。
可視化ツールで自社の状況を把握するとともに、対策を補強するプラクティスをレコメンドする機能は有効に活用されると考えられる。
これからサイバーセキュリティ体制を構築する組織である。
サイバーセキュリティ対策を何から始めればよいかわからないという悩みを抱えている。
体制構築の「はじめの一歩」として、プラクティス集の第2章「サイバーセキュリティ経営ガイドライン実践のプラクティス」全体を読み込み、必要な対策の全体像を把握する。
次に可視化ツールで自社の課題から優先的に取組むべきポイントを把握し、対策に取り込む。
IPA セキュリティセンター 半貫/安田
2021年4月5日
公開