IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書
こんにちは、丸山満彦です。
IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開していますね。。。
要は、「プラクティス集の利用実態やプラクティスへの要望等の調査」ですね。。。サイバーセキュリティ経営ガイドラインの作成メンバーなので、よく読んでおかないと(^^)。
次も委員になるかどうかはわからないけど...(^^;;
● IPA
・2021.04.05 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書
・[PDF] 2020 年度 サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査- 調査報告書 -
各企業の事業がどの程度ITに依存しているかという「IT依存度」を4段階に分けて分析をしているのが面白いですね(^^)。
高い | カテゴリー1 | ITシステム・ITサービスが事業上必要不可欠な要素であり、その停止は事業全体または重要な事業の停止に繋がる ・「金融、保険業」での割合が最も高く25.0%。「卸売業、小売業」「情報通信業」においても比較的高い傾向 |
↑ | カテゴリー2 | 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しており、その停止は事業の一部に大きく影響する ・「製造業」の割合が最も高い |
↓ | カテゴリー3 | 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しているが、ITに依存しない代替手段等があるため、一時的な停止であれば事業への影響は小さい ・「製造業」の割合が最も高い |
低い | カテゴリー4 | ITシステム・ITサービスは主に社内業務等に利用するのみで、その停止は事業にあまり影響しない ・「サービス業(他に分類されないもの)」の割合が最も高い |
(1)プラクティス集を利活用する目的(または、今後利活用する目的として想定されるもの)<複数選択>
- カテゴリー1:「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%。
- カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている(対策の必要性が新たに生じた)テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
- カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%、
.....
(2)構成・内容についての要望
- カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
- カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。
.....
有識者・企業インタビュー調査
プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。
- 体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
- 企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
- 可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。
なるほど...
Comments