SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Enterprise IT Women's Forum

2025年1月31日(金)17:00~20:30 ホテル雅叙園東京にて開催

Security Online Day 2025 春の陣(開催予定)

2025年3月18日(火)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

『サイバーセキュリティ経営ガイドライン』実践への第一歩

『サイバーセキュリティ経営ガイドライン』の使い方 各種ツールや参考資料をどう利用する?

【第3回】サイバーセキュリティ経営ガイドラインの活用方法

 サイバーセキュリティ経営ガイドラインには、自組織の実情を可視化するツールや参考資料が数多く提供されています。連載「『サイバーセキュリティ経営ガイドライン』実践への第一歩」の最終回である第3回では、各種ツールや参考資料の主な内容やポイント、活用方法などについて解説します。

目的に応じたガイドラインの活用例

 前回は、『サイバーセキュリティ経営ガイドライン』の構成や本文の主な内容について解説しました。今回は、「本ガイドラインをどのように活用すればよいのか」「どうすれば内容を実践でき、自組織のサイバーセキュリティ強化が図れるのか」といった点について、いくつかの例を挙げながら解説します。

 まず、サイバーセキュリティ経営ガイドラインには重要な事項が記載されていますが、ガイドライン本文をいくら熟読して内容を理解したとしても、それを実践し、自組織にサイバーセキュリティ経営を根付かせることはそう容易ではありません。ガイドラインが求めている事項を実践する上で有効なのが、各種付録や補助ツール、参考資料類の活用です。ここでは、次のような目的を想定し、その活用例を紹介します。

  • 目的1:自組織のサイバーセキュリティ対策の実践状況を知りたい
  • 目的2:重要10項目を実践する方法や他組織での実践事例を知りたい
  • 目的3:サイバーセキュリティ体制の強化を図りたい

1-1 組織のサイバーセキュリティ対策の実践状況を知るには

 ガイドライン実践の第一歩として、自組織の現状を把握する必要があるでしょう。この目的には、次の付録や補助ツール等が活用できます。

  1. 付録A サイバーセキュリティ経営チェックシート(ガイドライン本文内の付録:PDF形式)
  2. サイバーセキュリティ経営可視化ツール(比較シート)
    ※「サイバーセキュリティ経営可視化ツール(比較シート)のダウンロード」より利用可能
  3. サイバーセキュリティ経営可視化ツール(IPA情報セキュリティ対策支援サイト)

 それでは、これらの内容や活用方法について紹介していきます。

 まず、「付録A サイバーセキュリティ経営チェックシート」は、図1のようにサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェックシートであり、41個の項目から成ります。各項目の右側にある括弧内の記号はNIST(米国国立標準技術研究所)が提供するサイバーセキュリティフレームワークとの対応関係を示すもので、該当する項目には同フレームワークのサブカテゴリーの識別子が記載されています。

図1:付録A サイバーセキュリティ経営チェックシート(抜粋)
図1:付録A サイバーセキュリティ経営チェックシート(抜粋)
[画像クリックで拡大]

 このシートはPDF形式ですが、コピー&ペーストが可能であるため、編集可能な形式に変換することで、実際にチェックシートとして使用することが可能です。とはいえ、チェック結果の集計・可視化は別途行う必要があるため、それほど使い勝手が良いとはいえません。

 その点、次に紹介する「サイバーセキュリティ経営可視化ツール(比較シート)」と「サイバーセキュリティ経営可視化ツール(IPA情報セキュリティ対策支援サイト)」は、IPA(情報処理推進機構)のサイトでツールとして提供されており、実践状況をチェックするだけでなく、結果の集計や可視化まで行うことができます

 Excel形式で提供されている「サイバーセキュリティ経営可視化ツール(比較シート)」は、

  • 使い方ガイド
  • 利用手順
  • チェックリスト
  • 可視化結果
  • CSV

という5種類のシートから構成されています。これらの中で、図2に示す「チェックリスト」は、付録Aと同様にサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェック項目集ですが、その内容は付録Aとは少し異なり、39個の項目から成ります。また、回答方式に成熟度モデルを採用しており、各項目について5段階の選択式となっているほか、回答のヒントとして、用語の例、判断基準の例、参考情報なども示されています。 

図2:サイバーセキュリティ経営可視化ツール(比較シート)のチェックリスト(抜粋)
図2:サイバーセキュリティ経営可視化ツール(比較シート)のチェックリスト(抜粋)
[画像クリックで拡大]

 「チェックリスト」のシートに回答すると、図3のように結果がそのまま「可視化結果」シートにレーダーチャートで示され、自組織の実践状況を確認することができます。

図3:サイバーセキュリティ経営可視化ツールの可視化結果の例1
図3:サイバーセキュリティ経営可視化ツールの可視化結果の例1
[画像クリックで拡大]

 なお、このツールは「比較シート」という名称の通り、組織単体としてのチェック結果を可視化するだけでなく、グループ企業などにおける各社の状況を可視化、比較できるようになっており、その使い方が「利用手順」シートに記載されています。

 一例を示すと、グループ企業であれば親会社のガイドライン実践状況を「チェックリスト」シートに入力。その後、グループ内の子会社など比較する対象企業の「セキュリティ診断結果CSVファイル」を作成し、利用手順に従って「CSV」シートにインポートします。

 そして、「セキュリティ診断結果CSVファイル」の作成には、IPA情報セキュリティ対策支援サイトでWebアプリケーションとして公開されている「サイバーセキュリティ経営可視化ツール」(以下、Web可視化ツール)を使用します。

次のページ
1-2 組織のサイバーセキュリティ対策の実践状況を知るには

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
『サイバーセキュリティ経営ガイドライン』実践への第一歩連載記事一覧

もっと読む

この記事の著者

上原 孝之(ウエハラ タカユキ)

S&J株式会社 取締役コンサルティング事業部長 リクルートにて、メインフレーム系システムの設計・開発、マシンセンター運用・管理等に携わった後、1994年にラックへ。オープン系システムの設計・開発業務を経て、1996年より同社の情報セキュリティ関連サービス事業の立ち上げ、推進に携わる。2000年...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/15171 2021/11/12 08:00

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング