CYBER SECURITY LAB

経営者必見! 「サイバーセキュリティ経営可視化ツール」を使ってサイバーセキュリティ対策をセルフチェック!

2021.10.18

  • シェアする
  • facebook
  • twiiter
  • line

map-g7cfd5c8b8_1280.jpg

新型コロナウイルスの流行でテレワークやサテライトオフィスの導入が進み、変化する環境への対応で苦労されている方も多いのではないでしょうか。組織においては、労働環境を整えるため、これまでの業務手順やシステムの大幅な変更を余儀なくされていることでしょう。

この変化により、これまでよりもクラウドやオンラインへの依存度が高まり、従来のサイバーセキュリティの考え方では組織の情報資産を適切に保護できない可能性が高まっています。

経済産業省と独立行政法人情報処理推進機構(IPA)は、複雑化するサイバーセキュリティ対策を経営者自らが推進できるよう、「サイバーセキュリティ経営ガイドライン」とセルフチェックツールである「サイバーセキュリティ経営可視化ツール」を公開しています。

今回の記事では、2021年8月に公開された、Web版の「サイバーセキュリティ経営可視化ツール」の使い方と、効果的に利用するためのポイントについて解説します。経営者の方はもちろんのこと、日頃からサイバーセキュリティ対策に携わる方についてもぜひ参考にしてください。

サイバーセキュリティ経営ガイドラインとは?

サイバーセキュリティ経営ガイドラインは、セキュリティ対策は経営を揺るがす問題であることを認識させ、経営者自らがリーダーシップをとって対策することを促進する目的で策定されました。

このガイドラインでは、サイバーセキュリティ対策は費用ではなく投資であり、セキュリティ投資は経営者の責務で経営戦略であると明記しています。

ただ、セキュリティ投資はリターンがはっきりとしないため、投資ではなく費用として捉えている経営者は少なくないようです。経営状況が悪化すれば費用は削減される運命にあり、サイバーセキュリティ対策がおざなりになる可能性があります。

適切にサイバーセキュリティ対策を行うためには、それに必要な費用や人材を明らかにし、あらかじめ予算を確保した上で体制を整えることが重要です。

サイバーセキュリティ経営可視化ツール使ってみよう!

「サイバーセキュリティ経営可視化ツール」は、サイバーセキュリティ対策を企業自身がセルフチェックできる、サイバーセキュリティ経営ガイドラインVer2.0ベースのWebサービスです。

IPAが運営している「情報セキュリティ対策支援サイト」のサービスの1つで、無料で利用することができます。利用者登録不要で利用できますが、履歴を保存するなど便利な機能を利用することができるため、あらかじめ利用者登録することをおススメします。

それでは以下のリンクからに接続して、早速使ってみましょう!

1.チェック項目に回答する

cyber_seecurity_management_visualization_tool_img_1.png

サイバーセキュリティ経営ガイドラインに基づく10の指示に関する質問が39問、事業内容に関する質問が8問、合計47問ありますので全ての質問に回答してください。質問の意味が分からない場合や、回答に迷った場合は「回答のヒント」をクリックして説明を参照してください。

使い方ガイドには、セキュリティ対策の担当幹部(CISOなど)が回答を記入し、最終的には経営者が回答内容を確認、承認するよう書かれています。

しかし、全ての組織で画一的に出来るとは限りませんので、それぞれの組織にあった形で実施して構いません。ただし、最終的には必ず経営者が確認しましょう。

なお、Webページで回答するため、後から経営者に回答内容を確認してもらうのは大変かもしれません。可能であれば経営者同席のもと行うか、二度手間になりますがWebページを印刷して確認してもらいましょう。

2.診断結果を確認する

cyber_seecurity_management_visualization_tool_img_2.png

すべてのチェック項目に回答すると診断結果が表示されます。利用者登録を済ませておけば、診断結果の履歴を保存することもできます。

診断結果はWebページ上で確認するほか、PDFやCSVに出力してダウンロードすることもできます。CSV形式で出力すれば、表計算ソフトやデータベースのデータとして利用することも可能です。

セルフチェックで分かることは?

47の質問に回答すると、10の指示項目についての評価値が[表]の通りに算出され、[図1]のレーダーチャートが作成されます。

[表]

指示項目

今回

指示 1 : サイバーセキュリティリスクの認識、組織全体での対応方針の策定

2.67

指示 2 : サイバーセキュリティリスク管理体制の構築

3.00

指示 3 : サイバーセキュリティ対策のための資源(予算、人材等)確保

2.50

指示 4 : サイバーセキュリティリスクの把握とリスク対応に関する計画の策定

3.67

指示 5 : サイバーセキュリティリスクに対応するための仕組みの構築

2.50

指示 6 : サイバーセキュリティ対策におけるPDCAサイクルの実施

2.75

指示 7 : インシデント発生時の緊急対応体制の整備

2.60

指示 8 : インシデントによる被害に備えた復旧体制の整備

2.50

指示 9 : ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握

2.00

指示 10 : 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

1.00

[図1]

cyber_seecurity_management_visualization_tool_img_3.png

指示項目の評価値・レーダーチャートについては、[図2]のように同業種や全企業平均と比較することができます。

[図2]

cyber_seecurity_management_visualization_tool_img_4.png

このように平均と比べることができれば、1つ1つの指示項目の意味は分からずとも、自社の取り組みが遅れているのか進んでいるのか一目で確認することができます。経営者にとっては、経営判断の指標となる有用な情報になることでしょう。

他にも、10の指示項目の事例についても確認することができます。これは、サイバーセキュリティ対策を具体的に検討する際に非常に役に立ちますので、担当者の方はぜひ参考にして欲しい情報です。

cyber_seecurity_management_visualization_tool_img_5.png

cyber_seecurity_management_visualization_tool_img_6.png

ただし、事例については評価値に関係なく同じものが提示されるにとどまっています。評価値に合わせて取るべき事例が提示されるよう、これからのサービス改善に期待したいところです。

最後に

経営者によって推進されるべきサイバーセキュリティ対策ですが、専門知識が無ければ難しいことも事実です。今回ご紹介したツール以外にも、独立行政法人情報処理推進機構はサイバーセキュリティに関する様々な情報とツールを提供していますので、それらを有効活用して、積極的にサイバーセキュリティ対策に取り組んでください。
記事一覧
TOPページ