情報処理推進機構(IPA)は、「サイバーセキュリティ経営ガイドライン」に準拠したセキュリティ対策の実施状況を自己診断し、その結果をレーダーチャートで可視化するWeb版「サイバーセキュリティ経営可視化ツール」を8月17日に公開した。

チェック項目入力画面

 IPAと経済産業省は、日本企業を取り巻くサイバー攻撃への脅威が増大する中、サイバーセキュリティ対策でリーダーシップを発揮している経営者への支援を拡充。現在、抱える課題を解決する各種ツールの整備を進めている。

 具体的には、経営者のリーダーシップの下でセキュリティに対する適切な投資が行われ、対策強化が進むことを目的として、15年に「サイバーセキュリティ経営ガイドライン」を策定。ガイドラインでは、企業がITの利活用を推進していく中で、経営者が認識すべきサイバーセキュリティに関する「3原則」や、経営者のリーダーシップによって取り組むべき「重要10項目」を示した。

 17年にVer2.0として必要な改訂を行い、19年にガイドライン実践に向けた取り組み事例をまとめた「サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」を公開した。さらに昨年、企業や組織が取り組み状況を自己診断して可視化するツールのエクセル版(β版)を作成した。

 今回のWeb版は、β版を試行した様々な業界企業からの意見を踏まえ、ウェブ化することで診断結果の履歴データを蓄積し、自組織のベンチマークや他組織との比較機能を追加、推奨対策を表示できるようにしたもの。

 同ツールでは、IPAの「情報セキュリティ対策支援サイト」上でユーザーが39個の対策に関する質問に実践の度合いを5段階の選択式で回答すると診断結果を「重要10項目」に準拠したレーダーチャートで表示する。診断結果を同業種の平均値と比較したり、過去5回分の診断結果と比較したりすることが可能。業界平均との比較のための初期データとしては880件の診断結果を格納している。

 また、特に点数の低い項目については推奨する対策として実践事例を表示する。さらに、診断結果をCSV形式で出力したものを同時に提供されるエクセル形式のサイバーセキュリティ経営可視化ツール(比較シート)で読み込むことで、グループ企業同士の診断結果を比較することができる。

 このツールを用いて企業は、自社の状況を定量的に把握することでサイバーセキュリティに関する方針の策定、適切なセキュリティ投資の実行などが可能となる。特に、セキュリティの実務者と経営者が自社の対策状況を会話するためのコミュニケーションツールとして活用できる。