こんにちは、オフィス電話本舗新人のMです。
今回はIPA(独立行政法人情報処理推進機構)が発行している広報誌「IPA NEWS」の11月号よりサイバーセキュリティ経営可視化ツールについてピックアップしてご紹介いたします!
サイバーセキュリティ経営可視化ツールとは
サイバーセキュリティ経営可視化ツールとは、「サイバーセキュリティ経営ガイドライン」に基づいて、自社のサイバーセキュリティの実践状況をセルフチェックし、可視化することができるツールです。
サイバーセキュリティ経営ガイドラインについては『サイバーセキュリティ経営ガイドラインとは』の項目で詳しく解説いたします。
サイバーセキュリティ経営の重要性
現在様々なビジネスの現場において、ITの利活用が不可欠になっています。
個人情報や業務の情報など多くのデータが電子化され、インターネットを通したやりとりも頻繁に行われています。
これにより業務の効率化やコスト削減、働き方の多様化を実現できる企業も多くなりました。
しかし、同時にサイバー犯罪などの脅威にもさらされており、サイバーセキュリティ対策も必要不可欠です。
サイバー犯罪などインターネットからの脅威について詳しくは下記の記事で詳しくご紹介しておりますので是非ご覧ください。
「インターネットの脅威その1「ランサムウェア」とは?」
「インターネットの脅威その2「マルウェア」とは?」
「インターネットの脅威その3「トロイの木馬」とは?」
そのため、企業戦略としてITに投資するように、セキュリティに対する投資についても経営者による判断が必要となる時代になりました。
サイバーセキュリティ経営ガイドラインとは
経済産業省とIPAでは、経営者によるサイバーセキュリティへの投資など判断が必要になってきた背景を受け、『サイバーセキュリティ経営ガイドライン」を策定しました。
このガイドラインでは、サイバー犯罪の脅威から企業を守るために必要な以下のことをまとめています。
経営者が認識する必要のある「3原則」
(1) 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2) 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
(3) 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る
情報開示など、関係者との適切なコミュニケーションが必要
経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」
指示1 サイバーセキュリティリスクの認識、組織全体での対応方針の策定
指示2 サイバーセキュリティリスク管理体制の構築
指示3 サイバーセキュリティ対策のための資源(予算、人材等)確保
指示4 サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
指示5 サイバーセキュリティリスクに対応するための仕組みの構築
指示6 サイバーセキュリティ対策における PDCA サイクルの実施
指示7 インシデント発生時の緊急対応体制の整備
指示8 インシデントによる被害に備えた復旧体制の整備
指示9 ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及
指示10 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
引用元:サイバーセキュリティ経営ガイドライン Ver2.0(PDF形式)PDFファイル(平成29年11月16日公開)|経済産業省
中小企業向けガイドライン
中小企業向けには「中小企業の情報セキュリティ対策ガイドライン」がIPAより公開されています。
中小企業(個人事業主も含む)の実態に沿った、具体的な対策を示すものです。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
今回IPA11月号で紹介されていたサイバーセキュリティ経営可視化ツールは「サイバーセキュリティ経営ガイドライン」に基づき、原則従業員300名以上の企業・組織を対象としています。
中小企業向けにはこの「中小企業の情報セキュリティ対策ガイドライン」に基づいた、より簡易な「5分でできる!情報セキュリティ自社診断」、中小企業の組織向けの「情報セキュリティ対策ベンチマーク」のご利用がおすすめです。
5分でできる!情報セキュリティ自社診断:IPA
組織の情報セキュリティ対策自己診断テスト:IPA
サイバーセキュリティ経営を可視化することのメリット
サイバーセキュリティについて、情報システム部門が実施・強化したいと考えていても、経営者の理解が得られずに困っている場合、可視化することでその必要性を経営者にわかりやすく伝えることができます。
また、経営者自身がサイバーセキュリティ対策をどの程度、どの方向に向けてすればよいのか悩んでいる場合にも非常に役に立ちます。
サイバーセキュリティ経営可視化ツールの使い方
サイバーセキュリティ対策可視化ツール(ウェブ版)の使い方は非常に簡単です。
- IPAの「情報セキュリティ対策支援サイト」にアクセスする
- トップページから情報セキュリティ診断にアクセス
- 『診断について』の項目から『可視化ツール使い方ガイド』をクリックし、使い方を確認する
- 情報セキュリティ対策支援サイトの情報セキュリティ診断のページに戻り、『診断種類の選択』から『サイバーセキュリティ経営可視化ツール』を選ぶ
(中小企業の場合はこの『サイバーセキュリティ経営可視化ツール』の上にある『5分でできる!情報セキュリティ自社診断』や、『情報セキュリティ対策ベンチマーク 』のご利用がおすすめです)
- 計47項目の質問に答える
以上の5つのステップで診断することができます。利用は無料です。
質問に対して判断に困る場合には、「回答のヒント」が用意されており、当てはまるものがわかるようになっています。
画像引用元:情報セキュリティ対策支援サイト
サイバーセキュリティ経営可視化ツールでわかること
診断結果は、サイバーセキュリティ経営ガイドラインに基づいた重要10項目によるレーダーチャートで表示されます。
点数の低い項目、自社の弱点については推奨される対策の実践例も表示されます。
また、ウェブ版ならではの機能として、同業種の平均値との比較、診断結果の過去5回分のデータの蓄積が可能です。(ウェブ版の前にエクセル版が公開されていましたが、エクセル版では実装されていなかった機能です)
診断結果はCSV形式で保存可能。この保存したものをエクセル版のサイバーセキュリティ経営可視化ツール(比較シート)で読み込めば、グループ企業同士での比較も可能です。
エクセル版サイバーセキュリティ経営可視化ツール(比較シート)のダウンロードはこちらから可能です。
サイバーセキュリティ経営可視化ツール:IPA 独立行政法人 情報処理推進機構
サイバーセキュリティは今、経営者にとって必須の視点!
サイバーセキュリティ経営可視化ツールを使うことで、自社のサイバーセキュリティにおいて弱点になっている部分やその対処法がわかり、どこに人材や費用を投資すべきか考えることができます。
対策をしないまま、インターネットによる脅威に襲われたり、ヒューマンエラーによる情報漏洩などがあれば、その被害は甚大です。
サイバーセキュリティ対策は必要経費と考えたうえで、どこにどんな風にコストをかけていけばよいのかを知るために、ぜひサイバーセキュリティ経営可視化ツールを使ってみてください。
インターネットからの脅威にはUTM(統合脅威管理アプライアンス)の設置、複合機のFAX誤送信や置き忘れ等ヒューマンエラーにはそういったヒューマンエラーへの対策機能のある複合機など、オフィス電話本舗ではサイバーセキュリティの対策となる製品を色々お取り扱いしております。
自社のサイバーセキュリティの弱点がわかった後には、ぜひ必要な対策についてオフィス電話本舗までご相談ください。
