EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

どのように『サイバーセキュリティ経営ガイドライン』を読み解けばよいのか? 重要10項目を紐解く 【第2回】サイバーセキュリティ経営ガイドラインの構成と主な内容

edited by Security Online   2021/10/21 08:00

 サイバーセキュリティ経営ガイドラインは、本文に加え、各種付録、補助ツール、参考資料などから構成されます。連載の第2回では、ガイドラインの全体構成、ガイドライン本文の経営者が認識すべき「3原則」およびサイバーセキュリティ経営の「重要10項目」について、主な内容やポイントなどを解説します。

ガイドラインの全体構成を俯瞰する

 『サイバーセキュリティ経営ガイドライン』は、図1に示すように、本文と各種付録に加え、ガイドラインを補助するツールや実践するための参考資料などから構成されています。ガイドライン本文は、2015年12月28日に最初の版である『Ver1.0』(PDF)、その後2016年12月8日に『Ver1.1』(PDF)、そして2017年11月16日に最新版である『Ver2.0』(PDF)が公開されました。 

図1:サイバーセキュリティ経営ガイドラインの全体構成
図1:サイバーセキュリティ経営ガイドラインの全体構成
[画像クリックで拡大]

 ガイドライン本文の構成はVer1.0から変わっておらず、「1. はじめに」「2. 経営者が認識すべき3原則」「3. サイバーセキュリティ経営の重要10項目」です(Ver1.0とVer1.1では、項番2は「サイバーセキュリティ経営の3原則」という表記でした)。

 また、付録の構成も大きく変わっていませんが、Ver1.0とVer1.1では、付録Bに「望ましい技術対策と参考文献」があり、サイバーセキュリティ経営の重要10項目の実現に有効な技術的対策の例や実施しない場合のリスクなどが表形式で示されていました。

 最新版のVer2.0からはこの技術対策の表はなくなり、付録Bは重要10項目に関する参考情報のみとなっています。代わりに、別添の付録Cとして「インシデント発生時に組織内で整理しておくべき事項」(Excel形式)が追加されました。

 サイバーセキュリティ対策における近年の傾向として、インシデントの事前対策だけでなく「検知」「対応」「復旧」といった事後対策を強化することの重要性が高まってきています。そうした傾向から見ると、ガイドラインVer1.0とVer1.1では、CSIRT(Computer Security Incident Response Team)の構築など「対応」に関する項目はあったものの、「検知」と「復旧」については内容が薄いことが課題となっていました。

 これを改善するためVer2.0の改訂においては、サイバーセキュリティ経営の重要10項目が見直され、指示8として「インシデントによる被害に備えた復旧体制の整備」が追加されています。付録Cも、こうしたインシデントの事後対応強化の一環として追加されたのです。

 また、Ver2.0の公開後もガイドラインの補助ツールや参考資料、付録などが追加されています。2020年3月にVer2.0の実践状況を企業自身がセルフチェックで可視化するため「サイバーセキュリティ経営可視化ツール」のβ版がIPA(独立行政法人情報処理推進機構)より公開されました。その後、2021年8月17日に正式版も公開されています。なお、この可視化ツールはIPAの情報セキュリティ対策支援サイトでブラウザから利用可能なツールとしても提供されています。

 そして2020年6月には、IPAよりガイドラインの重要10項目の実践事例集として『サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 第2版』が公開されました(これらの詳しい内容や活用方法については、次回取り上げたいと思います)。

 2021年4月には、付録Fとして「サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」(PDF)が公開されています。これは、ガイドラインの重要10項目における指示2「サイバーセキュリティリスク管理体制の構築」、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保 」について具体的な検討を行うための参考資料です。

 このように、『サイバーセキュリティ経営ガイドライン』は、サイバー攻撃の動向やIT環境の変化などを踏まえて継続的に改訂が行われるとともに、その実践を補助するツールや資料も続々と公開されています

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 上原 孝之(ウエハラ タカユキ)

    S&J株式会社 取締役コンサルティング事業部長 リクルートにて、メインフレーム系システムの設計・開発、マシンセンター運用・管理等に携わった後、1994年にラックへ。オープン系システムの設計・開発業務を経て、1996年より同社の情報セキュリティ関連サービス事業の立ち上げ、推進に携わる。2000年より、マネジメントコンサルティング部門の責任者として、情報セキュリティポリシー策定、リスクアセスメント、情報セキュリティ監査等のサービスを主導する傍ら、執筆、講演活動を通じて国内の情報セキュリティ人材の育成に注力する。2015年より、S&Jにて、企業や公共機関等におけるサイバーセキュリティ強化、インシデント対応等に関するコンサルティング業務に従事。2017年5月より、神奈川県警察CSIRTアドバイザーを兼務。

バックナンバー

連載:『サイバーセキュリティ経営ガイドライン』実践への第一歩
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5