IPA、「サイバーセキュリティ経営可視化ツール」ウェブ版を公開

　独立行政法人情報処理推進機構（以下、IPA）は17日、「サイバーセキュリティ経営ガイドライン」に準拠したセキュリティ対策の実施状況を自己診断し、その結果をレーダーチャートで可視化するWeb版のツール「サイバーセキュリティ経営可視化ツール」を公開した。

　IPAと経済産業省では、サイバーセキュリティ対策においてリーダーシップを発揮している経営者への支援を拡充し、現在抱える課題を解決する各種ツールの整備を進めている。具体的には、経営者のリーダーシップの下でセキュリティに対する適切な投資が行われ、対策強化が進むことを目的として、2015年に「サイバーセキュリティ経営ガイドライン」を策定した。

　2015年に策定されたサイバーセキュリティ経営ガイドラインは、企業がITの利活用を推進していく中で、経営者が認識すべきサイバーセキュリティに関する「3原則」や、経営者のリーダーシップによって取り組むべき「重要10項目」を示すしている。2017年にはVer2.0として改訂を行い、2019年には同ガイドライン実践に向けた取り組み事例をまとめた「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」を公開した。さらに、2020年には、企業や組織が取り組み状況を自己診断して可視化するツールのExcel版（β版）を公開している。

　今回公開した「サイバーセキュリティ経営可視化ツール」Web版は、β版を試行したさまざまな業界企業からの意見を踏まえ、ウェブ化することで診断結果の履歴データを蓄積し、自組織のベンチマークや他組織との比較機能を追加、推奨対策を表示できるようにした。

　ツールは、IPAの「情報セキュリティ対策支援サイト」上で、ユーザーが39個の対策に関する質問に、実践の度合いを5段階の選択式で回答すると、診断結果を「重要10項目」に準拠したレーダーチャートで表示する。診断結果については、同業種の平均値との比較や、過去5回分の診断結果との比較ができる。業界平均との比較のための初期データとしては、880件の診断結果を格納している。

チェック項目入力画面

診断結果画面

　また、特に点数の低い項目については、推奨する対策として実践事例を表示する。さらに、診断結果をCSV形式で出力したものを、同時に提供されるExcel形式のサイバーセキュリティ経営可視化ツール（比較シート）で読み込むことで、グループ企業同士の診断結果を比較できる。

実践事例の表示画面

　ツールを用いて、企業は自社の状況を定量的に把握することで、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行などが可能になり、特に、セキュリティの実務者と経営者が、自社の対策状況を会話するためのコミュニケーションツールとして有効だとしている。

　IPAでは、ツールによって可視化された診断結果を基に、経営者が適切な投資判断を行うことで、企業のセキュリティ対策が進むことを期待するとしている。