サイバーセキュリティ経営ガイドラインの対応状況を可視化「サイバーセキュリティ評価チェックシート」を無償提供開始|サイバーセキュリティ.com

サイバーセキュリティ経営ガイドラインの対応状況を可視化「サイバーセキュリティ評価チェックシート」を無償提供開始



ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、政府系や金融、大手企業向けでのセキュリティコンサルティングで多くの実績を誇る、ニュートン・コンサルティング株式会社の監修を受け、サイバーセキュリティ経営ガイドラインにより自社を評価する際に活用できるツール「サイバーセキュリティ評価チェックシート」の無償提供を2019年9月4日に開始しました。

サイバーセキュリティ経営ガドランとは

これまでサイバーセキュリティ対策は IT部門やセキュリティ担当者の責任で行うとい風潮がありました。サ プライチェーン全体を狙う攻撃への対策など、部門や担当者責任範囲超えているは明らかです。 経済産業省という省庁レベルで「サイバーセキュリティ経営ガイドライン」が策定され、“やっと”サイバーセキュリティ対策は経営責任であると定義されたのです。

サイバーセキュリティガイドランの適用に際して

サイバーセキュリティ経営ガイドラインの適用には次のような点を意識して進めると良いでしょう。

どの人員が実行すべき対策かを理解する

サイバーセキュリティ経営ガドランは、対策を強化したい企業の次ような人員想定して作成されいます。

  • 経営者
  • サイバー攻撃対策を実施する上での責任者となる幹部( CISO等)
  • サイバー攻撃対策の担当者、 CSIRTのメンバー等(セキュリティ担当者)
  • 上記人材の育成や支援を担当する社内部門外事業者

経営のガイドラインながらセキュリティ担当者や社外の事業者向けに技術的な情報も盛り込んでいる点は画期的と言えます。

チェックシートの問いが抽象的

サイバーセキュリティ経営ガイドラインの付録には「サイバーセキュリティ経営チェックシート」があります。チェックシートながら、チェック用の問いが大まかであり、より具体的にチェックを行うことで効果を高められます。

例えば「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか」というチェック項目があり、自社の状況についてYesまたはNOで回答するように指示されています。「認識しているかどうか」の問いに客観性を持って回答するのはどの企業でも難しいでしょう。

サイバーセキュリティ経営ガイドラインを理解しても、その適用にはセキュリティ専門家の知見を持って”認識している”とはどのような状態かを定義しておく必要があります。

「サイバーセキュリティ評価チェックシート」の公開

この度、ゾーホージャパン株式会社は、このサイバーセキュリティ経営ガイドラインを各企業で適用する際にお使いいただける「サイバーセキュリティ評価チェックシート」を無料で公開いたしました。

サイバーセキュリティチェックシートの特長を示します。

数値化し客観的な評価が下せる

サイバーセキュリティ経営ガイドラインの重要10項目の質問は曖昧で、実使用において必要な情報が不足しています。「サイバーセキュリティ評価チェックシート」では、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」を示しています。

重要10項目のひとつから例を挙げると「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか?」という問いでは。評価者もYesまたはNoで客観的な回答を下すことはできません。

サイバーセキュリティ評価チェックシートの「実施の確認事項」で示される

「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する。」という問いのように”記載されているかどうか”という質問に対してはYesまたはNoでの回答が容易です。

他の主要なガイドラインも加味

サイバーセキュリティ評価チェックシートは、サイバーセキュリティ経営ガイドラインを中心と位置づけ、ニュートン・コンサルティング株式会社のこれまでのセキュリティコンサルティングにおける知見や次のような主要なガイドラインの内容も取り込んだチェックリストとなっています。

  • JISQ15001:2017付属書A
  • 重要インフラのサイバーセキュリティを改善するためにフレームワークVer1.1
  • NIST SP 800-171 Revision1
  • CIS Controls version7
  • ISO27001:2013付属書A
  • ISO27017:2015付属書A
  • 中小企業の情報セキュリティ対策ガイドライン第3版
  • PCI-DSSバージョン3.2.1

おわりに

欧米諸国と比較して日本の各企業におけるセキュリティ対策は遅れを取っていると言われています。各企業ではまず「サイバーセキュリティ経営ガイドライン」を理解し、ガイドラインへ準拠できているか自社を数値評価しましょう。

企業の評価の際には、ニュートン・コンサルティング株式会社の知見が凝縮された「サイバーセキュリティ評価チェックシート」を是非、ご活用ください。

サイト「サイバーセキュリティ評価チェックシート」ダウンロード

関連リンク

ニュートン・コンサルティング株式会社について

ニュートン・コンサルティング株式会社は企業/組織のリスクマネジメントに特化したコンサルティング会社です。2016年11月、英NewtonITの日本法人として設立され、官公庁をはじめ様々な企業/組織に対する豊富な支援実績を有しています。特に全社的リスクマネジメント(ERM)、事業継続(BCP/BCM)、サイバーセキュリティの分野に注力。また、プロのコンサルタントがリスクマネジメントに関する知識やテクニックを解説する講座「ニュートン・アカデミー」を積極的に開催しています。

ManageEngine について

ManageEngine は、ゾーホージャパン株式会社が提供するネットワークやIT サービス、セキュリティ、デスクトップ・ノートPC、ビジネスアプリケーションなどを管理する製品・サービス群です。必要十分な機能に限定、かつ、直感的な操作が可能な画面設計により、短期間での導入が可能であり、その後の運用フェーズにおいても手間がかからず、よりシンプルなIT 運用管理を実現します。

また、中堅・中小企業でも導入しやすいリーズナブルな価格で、これまで大手IT ベンダーが提供する複雑で高額なツールを利用していた企業や、ツールを自社開発していた組織にも採用されてきました。現在では、日本国内の一般企業、官公庁や自治体などへ、5,000 ライセンスを超える販売実績があり、安心して使える製品・サービスです。最大で29 言語に対応する製品・サービスは、北米、欧州をはじめ、南米、中東、アジアなど世界で18 万社以上の企業や組織が導入し、企業・組織のIT 運用管理のシンプル化、グローバル化に貢献しています。

https://www.manageengine.jp/

ゾーホージャパン株式会社について

ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。

企業向けIT 運用管理ツール群「ManageEngine」は、世界18 万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM 市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。

また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。


http://www.zoho.co.jp/

お問い合わせ先

本資料に掲載されている製品、会社などの固有名詞は各社の商号、商標または登録商標です。®マーク、TM マークは省略しています。


セキュリティ対策無料相談窓口


「セキュリティ対策といっても何から始めたら良いかわからない。」「セキュリティ対策を誰に相談できる人がいない。」等のお悩みのある方、下記よりご相談ください。

無料相談はこちら

SNSでもご購読できます。