『サイバーセキュリティ経営ガイドライン』の使い方 各種ツールや参考資料をどう利用する？

目的に応じたガイドラインの活用例

　前回は、『サイバーセキュリティ経営ガイドライン』の構成や本文の主な内容について解説しました。今回は、「本ガイドラインをどのように活用すればよいのか」「どうすれば内容を実践でき、自組織のサイバーセキュリティ強化が図れるのか」といった点について、いくつかの例を挙げながら解説します。

　まず、サイバーセキュリティ経営ガイドラインには重要な事項が記載されていますが、ガイドライン本文をいくら熟読して内容を理解したとしても、それを実践し、自組織にサイバーセキュリティ経営を根付かせることはそう容易ではありません。ガイドラインが求めている事項を実践する上で有効なのが、各種付録や補助ツール、参考資料類の活用です。ここでは、次のような目的を想定し、その活用例を紹介します。

• 目的1：自組織のサイバーセキュリティ対策の実践状況を知りたい
• 目的2：重要10項目を実践する方法や他組織での実践事例を知りたい
• 目的3：サイバーセキュリティ体制の強化を図りたい

1-1 組織のサイバーセキュリティ対策の実践状況を知るには

　ガイドライン実践の第一歩として、自組織の現状を把握する必要があるでしょう。この目的には、次の付録や補助ツール等が活用できます。

1. 付録Ａ サイバーセキュリティ経営チェックシート（ガイドライン本文内の付録：PDF形式）
2. サイバーセキュリティ経営可視化ツール（比較シート）
   ※「サイバーセキュリティ経営可視化ツール（比較シート）のダウンロード」より利用可能
3. サイバーセキュリティ経営可視化ツール（IPA情報セキュリティ対策支援サイト）

　それでは、これらの内容や活用方法について紹介していきます。

　まず、「付録A サイバーセキュリティ経営チェックシート」は、図1のようにサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェックシートであり、41個の項目から成ります。各項目の右側にある括弧内の記号はNIST（米国国立標準技術研究所）が提供するサイバーセキュリティフレームワークとの対応関係を示すもので、該当する項目には同フレームワークのサブカテゴリーの識別子が記載されています。

　このシートはPDF形式ですが、コピー＆ペーストが可能であるため、編集可能な形式に変換することで、実際にチェックシートとして使用することが可能です。とはいえ、チェック結果の集計・可視化は別途行う必要があるため、それほど使い勝手が良いとはいえません。

　その点、次に紹介する「サイバーセキュリティ経営可視化ツール（比較シート）」と「サイバーセキュリティ経営可視化ツール（IPA情報セキュリティ対策支援サイト）」は、IPA（情報処理推進機構）のサイトでツールとして提供されており、実践状況をチェックするだけでなく、結果の集計や可視化まで行うことができます。

　Excel形式で提供されている「サイバーセキュリティ経営可視化ツール（比較シート）」は、

• 使い方ガイド
• 利用手順
• チェックリスト
• 可視化結果
• CSV

という5種類のシートから構成されています。これらの中で、図2に示す「チェックリスト」は、付録Aと同様にサイバーセキュリティ経営の「重要10項目」の実践状況について自己点検するためのチェック項目集ですが、その内容は付録Aとは少し異なり、39個の項目から成ります。また、回答方式に成熟度モデルを採用しており、各項目について5段階の選択式となっているほか、回答のヒントとして、用語の例、判断基準の例、参考情報なども示されています。　

　「チェックリスト」のシートに回答すると、図3のように結果がそのまま「可視化結果」シートにレーダーチャートで示され、自組織の実践状況を確認することができます。

　なお、このツールは「比較シート」という名称の通り、組織単体としてのチェック結果を可視化するだけでなく、グループ企業などにおける各社の状況を可視化、比較できるようになっており、その使い方が「利用手順」シートに記載されています。

　一例を示すと、グループ企業であれば親会社のガイドライン実践状況を「チェックリスト」シートに入力。その後、グループ内の子会社など比較する対象企業の「セキュリティ診断結果CSVファイル」を作成し、利用手順に従って「CSV」シートにインポートします。

　そして、「セキュリティ診断結果CSVファイル」の作成には、IPA情報セキュリティ対策支援サイトでWebアプリケーションとして公開されている「サイバーセキュリティ経営可視化ツール」（以下、Web可視化ツール）を使用します。