![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
Tag: 経産省 セキュリティ セキュリティ対策 ガイドライン
2017年11月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドライン Ver 2.0」(以下、経営ガイドライン)の「重要10項目」の実践に必要な事例を集めたもの。重要10項目を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載している。
本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。
1. 経営者向け:サイバーセキュリティ経営を促す仕組みの構築 2. 現場の実務者向け:具体的な対策の導入を促す事例集と可視化ツールの整備 3. 中小企業向け:サイバー保険等と連携した『サイバーセキュリティお助け隊』の創設 そして、1.の経営者向けの施策を推進するために策定されたものこそが、今回のテーマである『サイバーセキュリティ経営ガイドライン』なのです。
「サイバーセキュリティ経営可視化ツール」は、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するための「サイバーセキュリティ経営ガイドラインVer2.0」(*1)ベースのWebサービスです
サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。
IoT-SSFを活用することにより、フィジカル・サイバー間をつなぐ機器・システムに潜むリスクを踏まえて、機器・システムのカテゴライズを行い、カテゴリ毎に求められるセキュリティ・セーフティ要求の観点を把握し、カテゴリ間で比較することが可能となります。
ビルシステムに対するサイバーセキュリティ対策についてまとめたガイドラインであり、世界的に見ても先進的な取組です。
統一基準群は、国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。統一基準群の運用により、国の行政機関及び独立行政法人等それぞれの組織のPDCAサイクルや政府機関等全体のPDCAサイクルを適切に回し、政府機関等全体としての情報セキュリティの確保を図ります。
本統一基準は、全ての機関等において共通的に必要とされる情報セキュリティ対策で あり、政府機関等のサイバーセキュリティ対策のための統一規範(サイバーセキュリティ 戦略本部決定)に基づく機関等における統一的な枠組みの中で、統一規範の実施のため必 要な要件として、情報セキュリティ対策の項目ごとに機関等が遵守すべき事項(以下「遵守事項」という。)を規定することにより、機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする
このような現状を踏まえ、「政府機関の情報セキュリティ対策のための統一基準(平成 26 年度版)」(以下、「政府機関統一基準」という)では、府省庁外の者に情報システム の構築やアプリケーションの開発等を外部委託する場合や機器等を調達する場合等にお いて、調達元となる府省庁の組織が実施すべき情報セキュリティ上のサプライチェー ン・リスクへの対応に係る遵守事項(1.4 節参照)を定めている。
総務省では、「ICTサイバーセキュリティ総合対策2021」を踏まえ、サイバーセキュリティを確保するための施策を積極的に推進していきます。
