ページの先頭です。
サイト内の現在位置を表示しています。
  1. ホーム
  2. ソリューション・サービス
  3. サイバーセキュリティソリューション
  4. NEC Cyber Security Journal
  5. 「サイバーセキュリティ経営ガイドライン」から浮かび上がった企業の課題
ここから本文です。

「サイバーセキュリティ経営ガイドライン」から浮かび上がった企業の課題

経営ガイドラインの概要

2015年12月に経済産業省と独立行政法人 情報処理推進機構(IPA)から「サイバーセキュリティ経営ガイドライン」(以下、経営ガイドライン)が発行されました。サイバーセキュリティを経営問題と位置づけたこのガイドラインは、経営者が認識すべきサイバーセキュリティに関する原則(3原則)や、トップダウンで取り組むべき項目(重要10項目)などから構成されており、経営者が読むことを意識して策定されています。

重要10項目は大きく分けて、「経営者によるリーダーシップの表明と体制構築」、「サイバーセキュリティリスク管理の枠組み決定」、「リスクを踏まえた攻撃を防ぐための事前対策」、「サイバー攻撃を受けた場合に備えた準備」の4カテゴリに分類できます。この中で、自社に対するサイバー攻撃への事前対策はもちろんのこと、系列企業やサプライチェーンの委託先(ビジネスパートナー)を含めたセキュリティ対策、マルウェア感染や内部情報漏えいなどのセキュリティ事故を想定した対策準備を行うことも経営ガイドラインでは求めています。

簡易リスクアセスメントの概要

NECでは、経営ガイドラインの重要10項目をベースに、お客さまのセキュリティ対策状況を簡単に診断できるツール「サイバーセキュリティ経営ガイドラインに基づいた簡易リスクアセスメント」(以下、簡易診断) をWebサイトにて公開しています。

経営者によるリーダーシップの表明と体制構築
Q1 自社にて情報セキュリティ基本方針(*1)が策定され、経営者名で組織内に対して公開されていますか。
Q2 情報セキュリティ基本方針を経営者名で一般公開し、自社のセキュリティ方針をアピールできていますか。
Q3 サイバー攻撃の脅威に対する対策方針が、情報セキュリティ基本方針で検討されていますか。
Q4 CISO(*2)など、経営層でセキュリティを中心に活動する担当者はいますか。
Q5 サイバー攻撃に対するセキュリティリスク管理体制(*3)は構築されていますか。
  • (*1)企業・組織における、情報セキュリティに関する理念と方針を経営者が正式に表明したもの。
  • (*2)最高情報セキュリティ責任者( Chief Information Security Officer )。企業内で情報セキュリティを統括する担当役員。
  • (*3)情報セキュリティの状況とリスクを正確に把握し、必要な対策を実施できる体制。

質問項目一部抜粋

この簡易診断は、重要10項目の内容を踏まえた4カテゴリ、計20の質問事項に対して「はい」または「いいえ」で回答いただくことで、経営ガイドラインに照らし合わせて、企業のセキュリティ対策状況について判定します。判定結果は、「4カテゴリとも概ねできている」、「一番課題のあるカテゴリに対する指摘」(4種類)、「4カテゴリとも課題がある」の計6種類あり、結果に応じた対策アドバイスが受けられるようになっています。

また、診断を受けた方には、経営ガイドラインの概要や経営ガイドラインに基づいてNECが実施した対策事例をまとめた解説書をダウンロードいただけるようになっています。

診断結果とアドバイス一部抜粋

「サイバー攻撃を受けた場合の対応手順の策定、および実践的な教育が十分にできていない可能性があります。
現状のままでは、万が一サイバー攻撃を受けたことに気付いた場合に、被害の原因や影響範囲、損害を迅速に把握することができず、被害を拡大させる事態を招いてしまいます。ひとたび被害が拡大すれば、復旧に必要以上の時間を要すことになり、多大な損害を被ることになります。」(以下略)

おすすめコンテンツ

ページの先頭へ戻る