経済産業省とIPA、「サイバーセキュリティ経営ガイドラインVer.2.0」を実践するためのプラクティス集を発表
- 2019/03/26 10:34
- SecurityInsight
経済産業省と情報処理推進機構(IPA)は3月25日、2017年11月に発行した「サイバーセキュリティ経営ガイドラインVer.2.0」を実践するためのプラクティス集を発表した。このガイドラインは、米国のサイバーセキュリティフレームワークとの整合を意識し、攻撃検知対策やインシデント対応など、深刻化するサイバー攻撃への対応強化を狙った改訂が行なわれている。
ガイドラインは企業に一定の認知をされているが、ガイドライン記載の「重要10項目」を実践するには、具体的な事例から手順や着手の際の考え方などを把握し理解する必要があるとの声が寄せられていた。
これを受けてIPAは、サイバー攻撃への備えをさらに強化してもらうため、国内での実践事例を基にしたプラクティス集を作成した。
このプラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載している。
経営者には第1章が、CISO等やセキュティの担当者には全体が参考となるよう構成している。プラクティス集の構成は以下のとおり。
はじめに
第1章 経営とサイバーセキュリティ
第2章 サイバーセキュリティ経営ガイドライン実践のプラクティス
第3章 セキュリティ担当者の悩みと取組みのプラクティス
付録 サイバーセキュリティに関する用語集
サイバーセキュリティ対策の参考情報
第2章では、サイバーセキュリティ強化のために実践してもらいたいファーストステップを、重要10項目ごとにまとめている。第3章では、事例の妨げとなる課題やセキュリティ担当者の悩みに対し、実際に試みられた工夫の事例を紹介している。