IPA「サイバーセキュリティ経営ガイドラインVer 3.0実践のためのプラクティス集 第4版」を公開

「サイバーセキュリティ経営ガイドライン」の改訂にあわせて公開

本プラクティス集は、経済産業省とIPAが公開する「サイバーセキュリティ経営ガイドライン」の改訂にあわせて公開されるもので、同ガイドラインVer3.0の「重要10項目」を実践するにあたり、参考となる考え方やヒント、実施手順、実践事例をまとめています。「制御系を含むデジタル基盤を守ることを意識した対策の充実」や、「サプライチェーン全体にわたるサイバーセキュリティ対策の推進」に関する事例が追加されました。

本プラクティス集の構成は以下のとおりです。全体として最高情報セキュリティ責任者（CISO）やセキュリティ担当者向けの内容ですが、第1章は経営者向けの内容となっています。

第1章　経営とサイバーセキュリティ
第2章　サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章　セキュリティ担当者の悩みと取組のプラクティス
付録　　サイバーセキュリティに関する用語集　サイバーセキュリティ対策の参考情報

また、推奨する取組を紹介するページには「分類」「業種」「対象読者」「レベル」のインデックスが付き、自組織に必要な対策が検索しやすい工夫がされています。

出典：IPA「サイバーセキュリティ経営ガイドラインVer 3.0実践のためのプラクティス集 第4版」より一部抜粋

第1章では、経営者やCISO等に向けて、国内のサイバー攻撃の被害事例やサイバー攻撃の特徴を踏まえ、サイバーセキュリティが与える企業への影響や経営課題としての重要性をまとめています。

第2章では、「サイバーセキュリティ経営ガイドライン」における、「サイバーセキュリティ経営の重要10項目」の内容と、企業での事例をベースとした実践手順、実践内容、取り組む際の考え方、ヒントを解説しています。例えば、「サイバーセキュリティ対策のための資源（予算、人材等）確保」では、
・未対応の対策について、他社のサイバー被害事例を元に、自社でのインシデント発生可能性を見積もり、必要な追加対策とその費用概算を検討
・必要な追加対策、優先度と概算費用を経営会議へ報告し、対応時期を検討といった実践例が紹介されています。

第3章では、「セキュリティ担当者の悩みと取組のプラクティス」として、セキュリティ担当者や人材育成・支援担当者が対策を推進する上で経験した悩みとその解決策を、一問一答形式で紹介しています。組織のサイバーセキュリティへの取組の深度に応じて、必要な部分を適宜参考にすることができます。

MS&ADインターリスク総研株式会社発行のESGリスクトピックス2024年1月（第10号）を基に作成したものです。

【参考情報】