IT記者会Report

オリジナルな記事や送られてきたニュースリリース、セミナーのプレゼン資料など

IPAがサイバーセキュリティ対策の実践事例を検索できるウェブサイトを公開

ランサムウェア、テレワークなど最新の「悩み」への対策事例も紹介
 IPA独立行政法人情報処理推進機構、理事長:富田達夫)は本日、「サイバーセキュリティ経営ガイドライン」を実践するうえで参考となる事例やヒントを検索するためのウェブサイトを公開しました。同時に、ランサムウェアやテレワークといった近年の課題に対応する事例などを追加した「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版」を公開しました。
URL: https://www.ipa.go.jp/security/fy30/reports/ciso/index.html

 IPAは、経営者のリーダーシップの下、サイバーセキュリティ対策を推進するためのガイドラインである「サイバーセキュリティ経営ガイドライン」を経済産業省と共同で2015 年に発行し、2017年に改訂版(Ver 2.0)を発行しました。さらに、このガイドラインにおける「重要10項目」を企業が実践するにあたり、実施手順や取組の例、考え方やヒントなどを実際の事例に基づいて提供する「プラクティス集」を2019年に公開しました。「プラクティス集」は3章構成で、第1章で主に経営者向けに経営課題としてのサイバーセキュリティ対策の重要性を示し、第2章で「重要10項目」ごとの企業の取組事例、第3章でセキュリティ担当者の悩み別の企業の取組事例を紹介しています。

 このたび、これまでPDFで公開していた「プラクティス集」の第2章および第3章をウェブコンテンツ化し、「プラクティス・ナビ」として公開しました(図1、図2)。本サイトでは、「多層防御」「リスク分析」といったキーワードを選択することで、自社の状況に合ったプラクティスを検索することができます。サイバー攻撃対策やインシデント対応の強化に向けて、何から着手すればいいのかわからず、他社の対策を参考にしたいというマネジメント層が、ヒントを探しやすくなります。
図1: プラクティス・ナビのホーム画面
図2: プラクティス・ナビの「悩み」画面

 同時に、「プラクティス集」についても2020年に公開した第2版を拡充し、「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版」として公開しました。「ランサムウェアによる被害」や「テレワーク等のニューノーマルな働き方を狙った攻撃」、「サプライチェーンの弱点を悪用した攻撃」など、「情報セキュリティ10大脅威2022」組織編の上位にランクインする脅威に関するセキュリティ担当者の悩みについての実際の事例などを追加しています。今回新たに追加した項目は以下のとおりです。

第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
1-3 海外拠点における情報保護に関するコンプライアンスを拠点別チェックリストで担保
5-3 セキュリティバイデザインを標準とする、クラウドベースの開発プロセスの励行
6-2 一律のルール適用が困難なビジネスにおけるセキュリティKPIを用いたリスク管理
6-3 ステークホルダーの信頼を高めるための、サイバーセキュリティ関連情報発信の工夫
7-3 インシデント発生時の優先度に応じた顧客への通知・連絡・公表手順
7-4 想定されるインシデントについてのセキュリティ分析計画の事前策定
第3章 サイバーセキュリティ対策を推進する担当者の悩みと取組のプラクティス
7 内部不正で情報漏えいが生じた場合の自社事業への深刻な影響が心配
14 サプライチェーンの委託先企業がセキュリティ対策に協力的でない
16 ランサムウェア感染による事業停止を回避したい
18 テレワーク導入等の急激な環境変化に対応したセキュリティ管理規程に見直したい

 IPAは、「プラクティス・ナビ」および第3版の公開により、多くの企業がサイバーセキュリティ経営ガイドラインに紐づくプラクティスを参考にすることで、サイバーセキュリティ対策がさらに進んでいくことを期待しています。

 「プラクティス・ナビ」は、本日よりIPAのウェブサイトから利用可能です。
URL: https://www.ipa.go.jp/security/economics/practice/