サイバーセキュリティ経営ガイドライン解説書
2016年12月13日
省庁・団体名
独立行政法人情報処理推進機構
概要
IPA(独立行政法人情報処理推進機構)は、2015年12月に経済産業省と共同で策定した「サイバーセキュリティ経営ガイドライン」 (*1) の普及と実践に向けて、ガイドラインの内容を補足し、実施方法を具体的に解説する「サイバーセキュリティ経営ガイドライン解説書」を公開しました。
内容
近年、組織を狙うサイバー攻撃が増加し、組織の重要な情報の漏えいや不正利用により、経営や事業に対して大きなダメージを与える事故や事件が発生しています。
このような状況において、サイバーセキュリティの確保は、企業がITを利活用し、ビジネスを発展させていく上で、経営者が果たすべき責任のひとつであり、経営者自らがリーダーシップをとってサイバーセキュリティ対策を講じる必要があります。
このため2015年12月に経済産業省とIPAは、サイバーセキュリティ経営ガイドラインを公表しました。ただし、本ガイドラインは基本的な考え方を中心に簡潔に記述しているため、内容の実践に関する具体的な記述は含まれていませんでした。
そこで本ガイドラインのさらなる普及に向けて、IPAは、ガイドラインの内容を補足し、重要な対策の実施手順や検討のポイント等を具体的に説明する解説書を作成しました。
本ガイドラインと併せて、本解説書を活用することにより、経営者のサイバーセキュリティの確保に向けた取り組みが推進されることを期待しています。
本解説書の構成
本解説書の構成は以下のとおりです。0章はサイバーセキュリティ対策を検討している経営者、及び対策の実施責任者となるCISO等を想定読者として、経営者が認識する必要がある3原則を解説しています。また、1章以降は、サイバーセキュリティ対策の実施責任者となるCISO等を想定読者として、本ガイドラインに示される重要10項目について、記載されている順に解説しています。
【本解説書目次】
0.はじめに
1.サイバーセキュリティ対応方針の策定
2.リスク管理体制の構築
3.リスクの把握、目標と対応計画策定
4.PDCAサイクルの実施と対策の開示
5.系列企業・ビジネスパートナーの対策実施及び状況把握
6.予算確保・人材配置及び育成
7.ITシステム管理の外部委託
8.情報収集と情報共有
9.緊急時対応体制の整備と演習の実施
10.被害発覚後の必要な情報の把握、開示体制の整備
付録1:ガイドラインの3原則と重要10項目の概要図
付録2:参照情報
付録3:サイバーセキュリティ経営チェックシートの実施の目安と確認事項
別添 :サイバーセキュリティ対策に関連する被害事例
<付録1ガイドラインの3原則と重要10項目の概要図>
仮想企業による取り組み事例の掲載
本解説書では、対策や取り組みの具体的なイメージがつかめるように、規模・業種等の異なる2種類の仮想企業を題材に、重要10項目の検討手順やポイントを示しました。各章における対策の内容に対して、仮想企業の2社がそれぞれどのような検討を行い、何を実施したか等を例示することで、実際の取り組みへの参考となるように記述しました。
サイバー攻撃による被害事例の一覧を作成
具体的なサイバー攻撃やリスク、脅威等を検討する際の参考として、近年実際起こったサイバー攻撃の被害事例を取りまとめた一覧表を作成しました。
脚注
(*1) サイバー攻撃から企業を守る観点で、経営者が認識する必要のある3原則、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき重要10項目をまとめています。
http://www.meti.go.jp/policy/netsecurity/mng_guide.html 
資料のダウンロード
(PDF:3.7MB)
(Excel:78.9KB)アンケートのお願い
よろしければ今後のサービス向上を図るため、「サイバーセキュリティ経営ガイドライン」に関するアンケートにご協力ください。
> アンケート画面へ
お問い合わせ
IPA 技術本部 セキュリティセンター 加藤/小川
TEL:03-5978-7530 FAX:03-5978-7518
公表日
平成28年12月8日(木)