内閣官房国家サイバー統括室(NCO)は3月11日、社会経済を支えるサービスを担う事業者向けに自主学習用コンテンツ「リスクアセスメント実践ラーニングキット~自己学習、研修教材~」を公開しました。これは2025年7月に策定された「機能保証のためのリスクアセスメント・ガイドライン」に基づき、各組織がリスクアセスメントの手順を実践的に学べるように作成されたものです。自組織でのリスクアセスメントの実施を支援します。
機能保証のためのリスクアセスメント・ガイドラインは、近年増加するサイバー攻撃やシステム障害による長期間の業務停止を防ぐため、事業者の自律的なリスクマネジメントを促進する目的で策定されました。このガイドラインでは、「機能保証」という考え方を採用しています。機能保証とは、「社会経済システムの中で果たすべき役割・機能を見極め、これを発揮するために必要なサービスの提供を維持・継続する」と定義されています。単なるセキュリティ対策ではなく、事業継続を目的とした経営戦略レベルの枠組みとなっています。
また、発生確率が低い事象をリスクとして想定できず大きな混乱を招いた東日本大震災の教訓を踏まえ、「サービス停止などの最悪の結果」から逆算して、その原因となるリスク源を特定する手法(演繹的アプローチ)を採用しています。これにより、過去に経験がない事態でも見落としを防ぐことにつながります。
なお、ガイドラインには、実務担当者がすぐに作業できるよう、6つのステップに対応したExcel形式のワークシート(様式1~6)や、入力結果を自動でグラフ化・視覚化する「自己評価レポート」といったツール群が別紙として用意されています。
今回公開された自主学習用コンテンツは、これらの実務ツールを各組織が使いこなせるよう支援するものです。本編となる自主学習用コンテンツのほか、学習の進め方を示した手引きや、社内研修の講師用資料としても使える「解説・研修展開マニュアル」などが提供されています。
NCOは、リスクアセスメントは情報システム部門だけで進めるのではなく、経営層や関係部門を含めた組織全体で目的を共有することが重要だとしています。すべてのリスクに完璧に対応することは現実的ではなく、過剰な対策はかえって業務効率を低下させます。今回提供されたツール群を活用することで、各組織は自らのリスクを適切に把握し、真に守るべき重要サービスに対して、限られた予算や人員といった経営資源を効果的に配分できるようになることが期待されています。
