IPA、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書とチェックシートを公開
- 2019/10/24 10:30
- SecurityInsight
IPA(情報処理推進機構)は10月23日、国内の重要インフラ業界のセキュリティ対策の支援を目的に、米国発のセキュリティマネジメント成熟度の評価モデル「ES-C2M2」の解説書およびチェックシートを公開した。「ES-C2M2」は、米国の電力業界で活用されているセキュリティレベル向上のためのガイドラインとなっている。
「ES-C2M2」は、米国エネルギー省(DoE)が、米国内電力会社のセキュリティマネジメントを自己評価するために発行したもので、サイバーセキュリティ成熟度モデル(Cybersecurity Capability Maturity Model:C2M2)の一つ。このモデルを活用することで、現在取組んでいる対策や手法等の能力レベルの評価と、それによる対策の目標や改善のための優先順位の設定が可能になる。
米国では、より精度の高いセキュリティ対策の検討などにも有効であるとして、電力だけにとどまらず、石油・ガス・ビル業界などでもサイバーセキュリティ成熟度モデル(C2M2)が活用されている。「ES-C2M2」は電力業界向けとされているが、他業界を含む重要インフラ事業者でも活用できる内容となっている。
今回公開した解説書は、日本国内の重要インフラ業界における「ES-C2M2」の活用促進を目的にしたもので、「ES-C2M2」の概要や、チェックシートを用いた具体的な評価の手順などを紹介している。
「ES-C2M2」では、事業者のサイバーセキュリティへの対応状況を10の「ドメイン」に分類し、各ドメイン内に37の「目標」、目標ごとに312の「プラクティス」を整備。事業者のセキュリティマネジメントにおける成熟度を4段階で自己評価する。