ガイドラインの全体構成を俯瞰する
『サイバーセキュリティ経営ガイドライン』は、図1に示すように、本文と各種付録に加え、ガイドラインを補助するツールや実践するための参考資料などから構成されています。ガイドライン本文は、2015年12月28日に最初の版である『Ver1.0』(PDF)、その後2016年12月8日に『Ver1.1』(PDF)、そして2017年11月16日に最新版である『Ver2.0』(PDF)が公開されました。
[画像クリックで拡大]
ガイドライン本文の構成はVer1.0から変わっておらず、「1. はじめに」「2. 経営者が認識すべき3原則」「3. サイバーセキュリティ経営の重要10項目」です(Ver1.0とVer1.1では、項番2は「サイバーセキュリティ経営の3原則」という表記でした)。
また、付録の構成も大きく変わっていませんが、Ver1.0とVer1.1では、付録Bに「望ましい技術対策と参考文献」があり、サイバーセキュリティ経営の重要10項目の実現に有効な技術的対策の例や実施しない場合のリスクなどが表形式で示されていました。
最新版のVer2.0からはこの技術対策の表はなくなり、付録Bは重要10項目に関する参考情報のみとなっています。代わりに、別添の付録Cとして「インシデント発生時に組織内で整理しておくべき事項」(Excel形式)が追加されました。
サイバーセキュリティ対策における近年の傾向として、インシデントの事前対策だけでなく「検知」「対応」「復旧」といった事後対策を強化することの重要性が高まってきています。そうした傾向から見ると、ガイドラインVer1.0とVer1.1では、CSIRT(Computer Security Incident Response Team)の構築など「対応」に関する項目はあったものの、「検知」と「復旧」については内容が薄いことが課題となっていました。
これを改善するためVer2.0の改訂においては、サイバーセキュリティ経営の重要10項目が見直され、指示8として「インシデントによる被害に備えた復旧体制の整備」が追加されています。付録Cも、こうしたインシデントの事後対応強化の一環として追加されたのです。
また、Ver2.0の公開後もガイドラインの補助ツールや参考資料、付録などが追加されています。2020年3月にVer2.0の実践状況を企業自身がセルフチェックで可視化するため「サイバーセキュリティ経営可視化ツール」のβ版がIPA(独立行政法人情報処理推進機構)より公開されました。その後、2021年8月17日に正式版も公開されています。なお、この可視化ツールはIPAの情報セキュリティ対策支援サイトでブラウザから利用可能なツールとしても提供されています。
そして2020年6月には、IPAよりガイドラインの重要10項目の実践事例集として『サイバーセキュリティ経営ガイドライン Ver 2.0 実践のためのプラクティス集 第2版』が公開されました(これらの詳しい内容や活用方法については、次回取り上げたいと思います)。
2021年4月には、付録Fとして「サイバーセキュリティ体制構築・人材確保の手引き 第1.1版」(PDF)が公開されています。これは、ガイドラインの重要10項目における指示2「サイバーセキュリティリスク管理体制の構築」、指示3「サイバーセキュリティ対策のための資源(予算、人材等)確保 」について具体的な検討を行うための参考資料です。
このように、『サイバーセキュリティ経営ガイドライン』は、サイバー攻撃の動向やIT環境の変化などを踏まえて継続的に改訂が行われるとともに、その実践を補助するツールや資料も続々と公開されています。
