IPA、経営層などに向けた「サイバーセキュリティ経営ガイドラインVer 2.0 実践のためのプラクティス集」を公開

　独立行政法人情報処理推進機構（IPA）は25日、「サイバーセキュリティ経営ガイドラインVer 2.0」に記載された「重要10項目」を実現するために求められる行動を、実践プラクティスとして説明した「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」を公開した。

　サイバーセキュリティ経営ガイドラインには、サイバーセキュリティ対策において、経営者が認識する必要のある「3原則」および経営者がCISOなどの担当幹部に指示すべき「重要10項目」が示されている。

　この重要10項目を実践するには、具体的な事例から手順や着手の際の考え方などを把握・理解する必要があるという声を受け、産業サイバーセキュリティ研究会ワーキンググループ2（経営・人材・国際）により、施策として多数のセキュリティ実践事例を体系化したプラクティスの作成が打ち出された。

　これを受けてIPAでは、重要10項目の各項目に対策の取り組み事例をプラクティスとして対応させ、さらにセキュリティ担当者の悩み別にプラクティスを分類したプラクティス集を作成した。

　プラクティス集は、ガイドラインの重要10項目を実践する際に参考となる考え方やヒント、実施手順、実践事例を“とっつきやすさに配慮”して記載している。

　たとえば、対策実践者における“よくある”「悩み」とそれに対する「取り組み」を1ページの見開きで解説しており、解説では文字を最小限に、ピクトグラムや図を多用した視覚に訴える表記に努め、“とっつきやすさ”を追求している。また、付録にはサイバーセキュリティに関する用語集や参考情報のリンク集を収録し、不明な点もこの1冊で解消できることを念頭に置いたとしている。

　プラクティス集は、サイバーセキュリティに向けてリスクマネジメントを強化したい経営者や、サイバーセキュリティ対策を実施する上での責任者となる担当幹部、サイバーセキュリティ対策の実行責任者や担当者、CSIRTのメンバーなど、上記人材の育成や支援を担当する社内部門や社外の事業者などを想定読者としている。

　IPAでは、プラクティス集によりガイドラインが積極的に参照され、経営層のサイバーセキュリティへの意識が向上し、対策が一層推進されることを期待するとしている。