SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

直近開催のイベントはこちら!

Security Online Day 2022

2022年9月16日(金)10:00~17:10

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

『サイバーセキュリティ経営ガイドライン』実践への第一歩

どのように『サイバーセキュリティ経営ガイドライン』を読み解けばよいのか? 重要10項目を紐解く

【第2回】サイバーセキュリティ経営ガイドラインの構成と主な内容


 サイバーセキュリティ経営ガイドラインは、本文に加え、各種付録、補助ツール、参考資料などから構成されます。連載の第2回では、ガイドラインの全体構成、ガイドライン本文の経営者が認識すべき「3原則」およびサイバーセキュリティ経営の「重要10項目」について、主な内容やポイントなどを解説します。

ガイドラインの全体構成を俯瞰する

 『サイバーセキュリティ経営ガイドライン』は、図1に示すように、本文と各種付録に加え、ガイドラインを補助するツールや実践するための参考資料などから構成されています。ガイドライン本文は、2015年12月28日に最初の版である『Ver1.0』(PDF)、その後2016年12月8日に『Ver1.1』(PDF)、そして2017年11月16日に最新版である『Ver2.0』(PDF)が公開されました。 

図1:サイバーセキュリティ経営ガイドラインの全体構成
図1:サイバーセキュリティ経営ガイドラインの全体構成
[画像クリックで拡大]

 ガイドライン本文の構成はVer1.0から変わっておらず、「1. はじめに」「2. 経営者が認識すべき3原則」「3. サイバーセキュリティ経営の重要10項目」です(Ver1.0とVer1.1では、項番2は「サイバーセキュリティ経営の3原則」という表記でした)。

 また、付録の構成も大きく変わっていませんが、Ver1.0とVer1.1では、付録Bに「望ましい技術対策と参考文献」があり、サイバーセキュリティ経営の重要10項目の実現に有効な技術的対策の例や実施しない場合のリスクなどが表形式で示されていました。

 最新版のVer2.0からはこの技術対策の表はなくなり、付録Bは重要10項目に関する参考情報のみとなっています。代わりに、別添の付録Cとして「インシデント発生時に組織内で整理しておくべき事項」(Excel形式)が追加されました。

 サイバーセキュリティ対策における近年の傾向として、インシデントの事前対策だけでなく「検知」「対応」「復旧」といった事後対策を強化することの重要性が高まってきています。そうした傾向から見ると、ガイドラインVer1.0とVer1.1では、CSIRT(Computer Security Incident Response Team)の構築など「対応」に関する項目はあったものの、「検知」と「復旧」については内容が薄いことが課題となっていました。

 これを改善するためVer2.0の改訂においては、サイバーセキュリティ経営の重要10項目が見直され、指示8として「インシデントによる被害に備えた復旧体制の整備」が追加されています。付録Cも、こうしたインシデントの事後対応強化の一環として追加されたのです。

 また、Ver2.0の公開後もガイドラインの補助ツールや参考資料、付録などが追加されています。2020年3月にVer2.0の実践状況を企業自身がセルフチェックで可視化するため「サイバーセキュリティ経営可視化ツール」のβ版がIPA(独立行政法人情報処理推進機構)より公開されました。その後、2021年8月17日に正式版も公開されています。なお、この可視化ツールはIPAの情報セキュリティ対策支援サイトでブラウザから利用可能なツールとしても提供されています。

 そして2020年6月には、IPAよりガイドラインの重要10項目の実践事例集として『サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 第2版』が公開されました(これらの詳しい内容や活用方法については、次回取り上げたいと思います)。

 2021年4月には、付録Fとして「サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」(PDF)が公開されています。これは、ガイドラインの重要10項目における指示2「サイバーセキュリティリスク管理体制の構築」、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保 」について具体的な検討を行うための参考資料です。

 このように、『サイバーセキュリティ経営ガイドライン』は、サイバー攻撃の動向やIT環境の変化などを踏まえて継続的に改訂が行われるとともに、その実践を補助するツールや資料も続々と公開されています

次のページ
経営者が認識すべき「3原則」の内容とポイント

この記事は参考になりましたか?

  • Facebook
  • Twitter
  • Pocket
  • note
『サイバーセキュリティ経営ガイドライン』実践への第一歩連載記事一覧

もっと読む

この記事の著者

上原 孝之(ウエハラ タカユキ)

S&J株式会社 取締役コンサルティング事業部長 リクルートにて、メインフレーム系システムの設計・開発、マシンセンター運用・管理等に携わった後、1994年にラックへ。オープン系システムの設計・開発業務を経て、1996年より同社の情報セキュリティ関連サービス事業の立ち上げ、推進に携わる。2000年...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15052 2021/10/22 12:00

Job Board

PR

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

2022年9月16日(金)10:00~17:10

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング