情報処理推進機構(IPA)は10月31日、「サイバーセキュリティ経営ガイドライン」(経営ガイドライン)が今年3月に 「Ver 3.0」へと改訂されたのを受け、国内の事例を基にした「プラクティス集」の「第4版」を公表しました。企業インタビュー調査を実施し、経営ガイドラインが示す「重要10項目」を実践するのに参考となる事例を充実させました。
プラクティス集は、サイバー攻撃対策やインシデント対応の強化が必要としながらも、対策や体制づくりについて「何から始めるべきか」と考えている経営者やCISO、セキュリティ担当者などを主な対象としています。全3章で構成されており、第1章は経営者向けの内容、第2章はガイドラインの指示項目ごとの取り組み事例、第3章はセキュリティ担当者の悩みに焦点を当てた取り組み事例を掲載しています。
第4版では主に第2章の記載を充実させました。特に、「指示5」である「サイバーセキュリティリスクに効果的に対応するための仕組みの構築」については、新たに3つのプラクティスを追記しました。具体的には、「サイバーセキュリティ対策において委託すべき範囲の明確化とその管理」、「ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保」、「事業部門によるDX推進をセキュリティ確保の観点から支える仕組みづくり」を追加し、具体的な取り組みとともに紹介しました。
このほか、指示内容に関する参考情報としてサイバー保険を解説するなどしています。