EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

『サイバーセキュリティ経営ガイドライン』の使い方 各種ツールや参考資料をどう利用する? 【第3回】サイバーセキュリティ経営ガイドラインの活用方法

edited by Security Online   2021/11/12 08:00

 サイバーセキュリティ経営ガイドラインには、自組織の実情を可視化するツールや参考資料が数多く提供されています。連載「『サイバーセキュリティ経営ガイドライン』実践への第一歩」の最終回である第3回では、各種ツールや参考資料の主な内容やポイント、活用方法などについて解説します。

目的に応じたガイドラインの活用例

 前回は、『サイバーセキュリティ経営ガイドライン』の構成や本文の主な内容について解説しました。今回は、「本ガイドラインをどのように活用すればよいのか」「どうすれば内容を実践でき、自組織のサイバーセキュリティ強化が図れるのか」といった点について、いくつかの例を挙げながら解説します。

 まず、サイバーセキュリティ経営ガイドラインには重要な事項が記載されていますが、ガイドライン本文をいくら熟読して内容を理解したとしても、それを実践し、自組織にサイバーセキュリティ経営を根付かせることはそう容易ではありません。ガイドラインが求めている事項を実践する上で有効なのが、各種付録や補助ツール、参考資料類の活用です。ここでは、次のような目的を想定し、その活用例を紹介します。

  • 目的1:自組織のサイバーセキュリティ対策の実践状況を知りたい
  • 目的2:重要10項目を実践する方法や他組織での実践事例を知りたい
  • 目的3:サイバーセキュリティ体制の強化を図りたい

1-1 組織のサイバーセキュリティ対策の実践状況を知るには

 ガイドライン実践の第一歩として、自組織の現状を把握する必要があるでしょう。この目的には、次の付録や補助ツール等が活用できます。

  1. 付録A サイバーセキュリティ経営チェックシート(ガイドライン本文内の付録:PDF形式)
  2. サイバーセキュリティ経営可視化ツール(比較シート)
    ※「サイバーセキュリティ経営可視化ツール(比較シート)のダウンロード」より利用可能
  3. サイバーセキュリティ経営可視化ツール(IPA情報セキュリティ対策支援サイト)

 それでは、これらの内容や活用方法について紹介していきます。

 まず、「付録A サイバーセキュリティ経営チェックシート」は、図1のようにサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェックシートであり、41個の項目から成ります。各項目の右側にある括弧内の記号はNIST(米国国立標準技術研究所)が提供するサイバーセキュリティフレームワークとの対応関係を示すもので、該当する項目には同フレームワークのサブカテゴリーの識別子が記載されています。

図1:付録A サイバーセキュリティ経営チェックシート(抜粋)
図1:付録A サイバーセキュリティ経営チェックシート(抜粋)
[画像クリックで拡大]

 このシートはPDF形式ですが、コピー&ペーストが可能であるため、編集可能な形式に変換することで、実際にチェックシートとして使用することが可能です。とはいえ、チェック結果の集計・可視化は別途行う必要があるため、それほど使い勝手が良いとはいえません。

 その点、次に紹介する「サイバーセキュリティ経営可視化ツール(比較シート)」と「サイバーセキュリティ経営可視化ツール(IPA情報セキュリティ対策支援サイト)」は、IPA(情報処理推進機構)のサイトでツールとして提供されており、実践状況をチェックするだけでなく、結果の集計や可視化まで行うことができます

 Excel形式で提供されている「サイバーセキュリティ経営可視化ツール(比較シート)」は、

  • 使い方ガイド
  • 利用手順
  • チェックリスト
  • 可視化結果
  • CSV

という5種類のシートから構成されています。これらの中で、図2に示す「チェックリスト」は、付録Aと同様にサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェック項目集ですが、その内容は付録Aとは少し異なり、39個の項目から成ります。また、回答方式に成熟度モデルを採用しており、各項目について5段階の選択式となっているほか、回答のヒントとして、用語の例、判断基準の例、参考情報なども示されています。 

図2:サイバーセキュリティ経営可視化ツール(比較シート)のチェックリスト(抜粋)
図2:サイバーセキュリティ経営可視化ツール(比較シート)のチェックリスト(抜粋)
[画像クリックで拡大]

 「チェックリスト」のシートに回答すると、図3のように結果がそのまま「可視化結果」シートにレーダーチャートで示され、自組織の実践状況を確認することができます。

図3:サイバーセキュリティ経営可視化ツールの可視化結果の例1
図3:サイバーセキュリティ経営可視化ツールの可視化結果の例1
[画像クリックで拡大]

 なお、このツールは「比較シート」という名称の通り、組織単体としてのチェック結果を可視化するだけでなく、グループ企業などにおける各社の状況を可視化、比較できるようになっており、その使い方が「利用手順」シートに記載されています。

 一例を示すと、グループ企業であれば親会社のガイドライン実践状況を「チェックリスト」シートに入力。その後、グループ内の子会社など比較する対象企業の「セキュリティ診断結果CSVファイル」を作成し、利用手順に従って「CSV」シートにインポートします。

 そして、「セキュリティ診断結果CSVファイル」の作成には、IPA情報セキュリティ対策支援サイトでWebアプリケーションとして公開されている「サイバーセキュリティ経営可視化ツール」(以下、Web可視化ツール)を使用します。

※この続きは、会員の方のみお読みいただけます(登録無料)。


※この続きは、会員の方のみお読みいただけます(登録無料)。


著者プロフィール

  • 上原 孝之(ウエハラ タカユキ)

    S&J株式会社 取締役コンサルティング事業部長 リクルートにて、メインフレーム系システムの設計・開発、マシンセンター運用・管理等に携わった後、1994年にラックへ。オープン系システムの設計・開発業務を経て、1996年より同社の情報セキュリティ関連サービス事業の立ち上げ、推進に携わる。2000年より、マネジメントコンサルティング部門の責任者として、情報セキュリティポリシー策定、リスクアセスメント、情報セキュリティ監査等のサービスを主導する傍ら、執筆、講演活動を通じて国内の情報セキュリティ人材の育成に注力する。2015年より、S&Jにて、企業や公共機関等におけるサイバーセキュリティ強化、インシデント対応等に関するコンサルティング業務に従事。2017年5月より、神奈川県警察CSIRTアドバイザーを兼務。

バックナンバー

連載:『サイバーセキュリティ経営ガイドライン』実践への第一歩
All contents copyright © 2007-2021 Shoeisha Co., Ltd. All rights reserved. ver.1.5