ガイドラインには、サイバーセキュリティ対策において経営者が認識する必要のある「3原則」および経営者がCISO等の担当幹部に指示すべき「重要10項目」が示されている。
その「重要10項目」を実践するには、具体的な事例から手順や着手の際の考え方などを把握・理解する必要があるという声が寄せられていたという。そこで、産業サイバーセキュリティ研究会ワーキンググループ2(経営・人材・国際)により、施策として多数のセキュリティ実践事例を体系化したプラクティスの作成が打ち出された。
これを受けて、IPAは各「重要10項目」に対策の取組み事例をプラクティスとして対応させ、かつセキュリティ担当者の悩み別にプラクティスを分類した本プラクティス集を作成した。
本プラクティス集は、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を“とっつきやすさに配慮”して記載している。
例えば、対策実践者における“よくある”「悩み」とそれに対する「取組み」を1ページの見開きで解説している。この解説では文字を最小限に、ピクトグラムや図を多用した視覚に訴える表記に努め、“とっつきやすさ”を追求している。
また、付録にはサイバーセキュリティに関する用語集や参考情報のリンク集を収録し、不明な点もこの1冊で解消できることを念頭に置いた。その結果、本プラクティス集が積極的に利活用されることを狙っているという。 想定読者は以下のとおり。
- サイバーセキュリティに向けてリスクマネジメントを強化したい経営者
- サイバーセキュリティ対策を実施する上での責任者となる担当幹部
- サイバーセキュリティ対策の実行責任者や担当者、CSIRTのメンバーなど
- 上記人材の育成や支援を担当する社内部門や社外の事業者
