【サイバーセキュリティ経営ガイドライン実践のためのプラクティス集第4版を公開】

2023年12月14日新着情報

独立行政法人情報処理推進機構（IPA）は、10月31日に「サイバーセキュリティ経営ガイドライン Ver 3.0実践のためのプラクティス集第4版」（以下、第4版）を発行しました。これは、2023年3月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドラインVer3.0（以下、経営ガイドライン）」の「重要10項目」の実践に必要な事例を充実させたものです。

サイバーセキュリティ経営ガイドライン Ver3.0（PDF形式）（令和5年3月24日公開）

https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf

■主な改訂内容

第2章：「リテラシーにとどまらないプラスセキュリティ教育の実践」「DX推進を支える仕組みづくり」「サプライチェーンでの連携体制の構築」などのプラクティスを追加

プラクティス3-2：経営層やスタッフ部門等の役割に応じた、リテラシーにとどまらないセキュリティ教育実践
プラクティス4-2：『サイバーセキュリティ経営可視化ツール』を用いたリスク対策状況の把握と報告
プラクティス5-2：サイバーセキュリティ対策において委託すべき範囲の明確化とその管理
プラクティス5-3：ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保
プラクティス5-4：事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり
プラクティス7-4：CSIRT業務の属人化回避も兼ねたインシデントや脅威に関する情報の共有・蓄積
プラクティス7-5：無理なく実践するインシデント対応演習
プラクティス9-2：サプライチェーンで連携する各社が『自社ですべきこと』を実施する体制の構築
プラクティス10-2：『情報の共有・公表ガイダンス』に基づくCSIRTと社内外関係者との連携推進

第4版を作成するために実施した企業インタビュー調査で得られた「指示5」に関するプラクティスのうち、事例で紹介できなかったものをミニプラクティスとして掲載

ミニプラクティス1：クラウドサービスを利用する際のセキュリティ対策を強化するにはどうすればよいのか?
ミニプラクティス4：従業員向けのサイバーセキュリティ教育の効果を高めるにはどうすればよいのか?

■プラクティス集の構成と特徴

このプラクティス集は、「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載したものです。

全体としてCISO等やセキュリティ担当者向の内容ですが第1章は経営者向けの内容となっています。本プラクティス集の構成は以下の通りです。

第1章
　経営とサイバーセキュリティ
第2章
　サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章
　セキュリティ担当者の悩みと取組みのプラクティス
付録
　サイバーセキュリティに関する用語集、サイバーセキュリティ対策の参考情報

第2章では、サイバーセキュリティ強化のために実践していただきたいファーストステップを、重要10項目ごとにまとめています。第3章では、事例の妨げとなる課題やセキュリティ担当者の悩みに対し、実際に試みられた工夫の事例を紹介しています。

図1：重要10項目ごとにまとめたプラクティス（第2章）

図2：セキュリティ担当者の悩みと取組のプラクティス（第3章）