東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

組織の成熟度を上げる計画

組織の成熟度を上げて行くためには、何をして行くのかを示す計画が非常に重要です。ありたい姿を定めると共に、評価方法や適用範囲などを検討していきます。

Point① 適用範囲を明確にする

セキュリティの取り組みをどこに適用して行くのかを考えます。基本的には全社となりますが、それぞれのネットワークの役割などにより多少の違いが発生する場合があります。また、従業員や委託社員などの違いも明確にします。

適用範囲を明確にする

Point② 会社の目指す姿を実現するために必要なセキュリティ像(ありたい姿)を明確にする

ありたい姿は、経営理念や会社の事業計画に即したものでなければいけません。広い視点で考えながら、事業計画を実現するために必要な姿、ありたい姿を考えていきます。

会社が目指すビジョン

会社が目指すビジョン

会社が目指すビジョン、成し遂げたいこと、提供したい価値を把握する。

ビジョン実現のための戦略

ビジョン実現のための戦略

ビジョン実現のために取りうる戦略を把握する。

戦略を安全に実現するセキュリティのあるべき姿

戦略を安全に実現するセキュリティのあるべき姿

戦略を安全に実行するために必要となるセキュリティのあるべき姿を定める。

あるべき姿を決める際には、役職や業務内容などが違う人が集まって決めていくことが理想です。経営者のありたい姿は売上向上や円滑な事業運営、セキュリティ担当者のありたい姿は従業員のセキュリティ理解向上など粒度に差が生まれます。会社の目指すビジョンを実現するために必要なセキュリティ像は、立場や役職などが違う関係者で集まり決めていきます。
あるべき姿をPoint③で紹介するCSFのカテゴリー・サブカテゴリーで整理することで、現状とのギャップを把握しやすくなります。また、優先度をつけることで取り組みの判断に迷わなくなります。

Point③ とるべきセキュリティ対策のポイントを決める

会社として何に気を付ければよいのか、どのあたりをポイントとして取り組むべきかを考えるときには、フレームワークを活用すると便利です。今回は、3日目のテキストで紹介した、NIST CSF (Cybersecurity Framework) を用いて成熟度について説明します。

気を付けるポイントをカテゴリーごとに説明しているのが、コアです。コアは、業種や業態を問わず、各組織で共通となるサイバーセキュリティ対策を示しています。3日目のテキストで紹介した通り、5つの機能と23のカテゴリーで構成されます。さらに、各カテゴリーには複数のサブカテゴリー(計108項目)が紐づいており、サイバーセキュリティ対策として取り組むべき具体的な対策項目の参考とすることができます。

フレームワークコア1 識別 防御
フレームワークコア2 検知 対応

NISTはフレームワークコアを公開しており、無料でダウンロードすることが可能です。

重要インフラのサイバーセキュリティを改善するためのフレームワーク 1.1版

  1. 原文 
    https://www.nist.gov/document/2018-04-16frameworkv11core1xlsx
  2. 和訳 
    https://www.ipa.go.jp/files/000071205.xlsx

これらの各カテゴリー、サブカテゴリーに対して、適用範囲や適用する関係者、取り組み方法、評価方法を決めておくことで、現状を把握しやすくなります。また、Point④で紹介するティアの判定基準を定めることで、現状をより理解できます。

One point

「サイバーセキュリティ経営ガイドライン」ではサイバーセキュリティ経営チェックシートが付録として掲載されています。チェック項目には、NISTが提供するサイバーセキュリティフレームワークとの対応関係が提示されています。いきなりCSFは難しそうと感じる方は、サイバーセキュリティ経営チェックシートも活用しながら、ありたい姿と現状のチェックをしてみましょう。ただし、項目数としては、CSFの方が多くなりますので、自社で不足する項目は、CSFを参考にして追加しましょう。

出典:経済産業省
サイバーセキュリティ経営ガイドライン Ver 2.0
https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide2.0.pdf

Point④ 現状を把握する

カテゴリー・サブカテゴリーの項目に従い、現状を把握していきます。現状を把握する際には、同じくCSFの要素である、フレームワークインプリメンテーションティア (ティア / Tier)を利用していきます。

フレームワークインプリメンテーションティア (ティア / Tier)

ティアは、組織のセキュリティリスク管理がどの程度実践できているかをティア 1 (部分的)からティア 4 (適応)で示すことで、自組織の現状を把握し、優先的に取り組むべき施策や追加リソースの割り当てなどの決定を行うにあたっての指標とすることができます。必ずしもティア4を目指すことが正解ではなく、自組織のビジネス特性や情報資産の実態などに応じて、コアカテゴリー毎に目指すべきティアを設定することが必要です。

フレームワークインプリメンテーションティア

また、「何をもってティアの各4段階に到達しているかを判断するのか」というティアの具体的な定義は、各組織内で議論し、関係者間でのレベルの解釈のすり合わせおよび共通認識が必要となります。具体的な定義を決める際には、Point①で説明した適用範囲などの考えを利用します。また、取り組みの進捗度なども評価基準となります。以下に事例を示します。

評価対象のコア・カテゴリー、サブカテゴリー

108のサブカテゴリーにおいて評価基準等を決めてから現状を把握すると計画に時間がかかるというデメリットが生じます。PDCAを回して行く中で評価基準も見直していくことで、スピード感も意識した取り組みとなります。

Point⑤ あるべき姿と現状のギャップを洗い出す

現状とあるべき姿を比較し、ギャップの把握を行います。このギャップを解消して行くことであるべきセキュリティの姿に近づくことになります。以下の例は、カテゴリーに対しての実施ですが、サブカテゴリーであるべき姿と現状のギャップが把握できるとより詳細な状況を把握することができます。

あるべき姿と現状のギャップを洗い出す

Point⑥ 優先度をつけギャップ解消に向けた計画を立案する

ギャップに対して改善のための対応を進めていきます。ギャップが複数ある場合には、優先度をつけた対応が求められます。

ギャップの大きさ

あるべき姿に近づくため、ギャップの大きさから優先順位を決めて取り組みます。

重要な項目

各カテゴリー・サブカテゴリーの中でも、重要な項目を優先的に取り組みます。

実行のしやすさ

予算や環境、スキルなどまずはやりやすいところから取り組みます。

ギャップ解消は短期では全て解消しないことがほとんどです。長期的な視点で予算なども意識しながら計画を立案する必要があります。

長期計画

中期計画や年間計画として、いつまでに何をやるかの計画を検討します。

予算

活動にはお金が必要です。予算を意識し、必要であれば予算確保を行います。

体制

実行にあたり、体制が不足するようであれば、体制強化の働きかけを行います。

組織の成熟度を上げる活動
組織の成熟度を上げる行動
セミナー8日目TOP