プレスリリース

サイバーセキュリティ経営ガイドラインの対応状況を可視化!

「サイバーセキュリティ評価チェックシート」を無償提供開始

セキュリティ対策で遅れを取っている日本。各企業はただちに対応を

2019年9月4日

ゾーホージャパン株式会社(代表取締役:迫 洋一郎、本社:横浜市)は、政府系や金融、大手企業向けでのセキュリティコンサルティングで多くの実績を誇る、ニュートン・コンサルティング株式会社の監修を受け、サイバーセキュリティ経営ガイドラインにより自社を評価する際に活用できるツール「サイバーセキュリティ評価チェックシート」の無償提供を2019年9月4日に開始しました。

■サイバーセキュリティ経営ガイドラインとは

これまでサイバーセキュリティ対策はIT部門やセキュリティ担当者の責任で行うという風潮がありました。サプライチェーン全体を狙う攻撃への対策など、部門や担当者の責任範囲を超えているのは明らかです。
経済産業省という省庁レベルで「サイバーセキュリティ経営ガイドライン」が策定され、“やっと”サイバーセキュリティ対策は経営責任であると定義されたのです。

■サイバーセキュリティ経営ガイドラインの適用に際して

サイバーセキュリティ経営ガイドラインの適用には次のような点を意識して進めると良いでしょう。

どの人員が実行すべき対策かを理解する

サイバーセキュリティ経営ガイドラインは、サイバーセキュリティ対策を強化したい企業の次のような人員を想定して作成されています。

  • 経営者
  • サイバー攻撃対策を実施する上での責任者となる幹部(CISO等)
  • サイバー攻撃対策の担当者、CSIRTのメンバー等(セキュリティ担当者)
  • 上記人材の育成や支援を担当する社内部門や社外の事業者(人材育成・支援担当者)

経営のガイドラインながらセキュリティ担当者や社外の事業者向けに技術的な情報も盛り込んでいる点は画期的と言えます。

チェックシートの問いが抽象的

サイバーセキュリティ経営ガイドラインの付録には「サイバーセキュリティ経営チェックシート」があります。 チェックシートながら、チェック用の問いが大まかであり、より具体的にチェックを行うことで効果を高められます。

例えば「経営者がサイバーセキュリティリスクを経営リスクの 1 つとして認識しているか」というチェック項目があり、自社の状況についてYesまたはNoで回答するように指示されています。
「認識しているかどうか」の問いに客観性を持って回答するのはどの企業でも難しいでしょう。
サイバーセキュリティ経営ガイドラインを理解しても、その適用にはセキュリティ専門家の知見をもって“認識している”とはどのような状態かを定義しておく必要があります。

■「サイバーセキュリティ評価チェックシート」の公開

この度、ゾーホージャパン株式会社は、このサイバーセキュリティ経営ガイドラインを各企業で適用する際にお使いいただける「サイバーセキュリティ評価チェックシート」を無料で公開いたしました。
サイバーセキュリティ評価チェックシートの特長を示します。

数値化し客観的な評価が下せる

サイバーセキュリティ経営ガイドラインの重要10項目の質問は曖昧で、実使用において必要な情報が不足しています。「サイバーセキュリティ評価チェックシート」では、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」を示しています。

重要10項目のひとつから例を挙げると「経営者がサイバーセキュリティリスクを経営リスクの1つとして認識しているか?」という問いでは、評価者もYesまたはNoで客観的な回答を下すことはできません。

サイバーセキュリティ評価チェックシートの「実施の確認事項」で示される

「サイバーセキュリティリスクに特化したセキュリティポリシーを新たに策定する場合には、サイバーセキュリティリスクを経営リスクとして認識していること、及び経営者の関与と責任に関する事項が記載されていることを確認する。」という問いのように“記載されているかどうか”という質問に対してはYesまたはNoでの回答が容易です。

他の主要なガイドラインも加味

サイバーセキュリティ評価チェックシートは、サイバーセキュリティ経営ガイドラインを中心と位置づけ、ニュートン・コンサルティング株式会社のこれまでのセキュリティコンサルティングにおける知見や次のような主要なガイドラインの内容も取り込んだチェックリストとなっています。

  • JISQ15001:2017付属書A
  • 重要インフラのサイバーセキュリティを改善するためのフレームワークVer1.1
  • NIST SP 800-171 Revision1
  • CIS Controls version7
  • ISO27001:2013付属書A
  • ISO27017:2015付属書A
  • 中小企業の情報セキュリティ対策ガイドライン第3版
  • PCI-DSSバージョン3.2.1
■おわりに

欧米諸国と比較して日本の各企業におけるセキュリティ対策は遅れを取っていると言われています。
各企業ではまず「サイバーセキュリティ経営ガイドライン」を理解し、ガイドラインへ準拠できているか自社を数値評価しましょう。
企業の評価の際には、ニュートン・コンサルティング株式会社の知見が凝縮された「サイバーセキュリティ評価チェックシート」を是非、ご活用ください。

【「サイバーセキュリティ評価チェックシート」 ダウンロードリンク】

関連リンク

ニュートン・コンサルティング株式会社について

ニュートン・コンサルティング株式会社は企業/組織のリスクマネジメントに特化したコンサルティング会社です。2006年11月、英 NewtonIT の日本法人として設立され、官公庁をはじめ様々な企業/組織に対する豊富な支援実績を有しています。特に全社的リスクマネジメント(ERM)、事業継続(BCP/BCM)、サイバーセキュリティの分野に注力。また、プロのコンサルタントがリスクマネジメントに関する知識やテクニックを解説する講座「ニュートン・アカデミー」を積極的に開催しています。

ManageEngineについて

ManageEngineは、ゾーホージャパン株式会社が提供するネットワークやITサービス、セキュリティ、デスクトップ・ノートPC、ビジネスアプリケーションなどを管理する製品・サービス群です。必要十分な機能に限定、かつ、直感的な操作が可能な画面設計により、短期間での導入が可能であり、その後の運用フェーズにおいても手間がかからず、よりシンプルなIT運用管理を実現します。
また、中堅・中小企業でも導入しやすいリーズナブルな価格で、これまで大手ITベンダーが提供する複雑で高額なツールを利用していた企業や、ツールを自社開発していた組織にも採用されてきました。現在では、日本国内の一般企業、官公庁や自治体などへ、5,000ライセンスを超える販売実績があり、安心して使える製品・サービスです。
最大で29言語に対応する製品・サービスは、北米、欧州をはじめ、南米、中東、アジアなど世界で18万社以上の企業や組織が導入し、企業・組織のIT運用管理のシンプル化、グローバル化に貢献しています。

 

ゾーホージャパン株式会社について

ゾーホージャパン株式会社は、ワールドワイドで事業を展開するZoho Corporation Pvt. Ltd.(本社:インド タミル・ナドゥ州チェンナイ CEO:Sridhar Vembu)が開発/製造したネットワーク管理開発ツールや企業向けIT運用管理ソフトウェア、企業向けクラウドサービスを日本市場に提供すると同時に関連するサポート、コンサルティングなども提供しています。
企業向けIT運用管理ツール群「ManageEngine」は、世界18万社を超える顧客実績を誇り、国内でも販売本数を伸ばしています。「ManageEngine」は、ネットワーク管理のOEM市場でスタンダードとして認知されてきたネットワーク管理開発ツール「WebNMS」のノウハウや経験を生かして開発されたものです。
また、業務改善/生産性向上を支援する企業向けクラウドサービス群「Zoho」は、世界で4,500万人を超えるユーザーに利用されています。国内では「Zoho CRM」を中心にユーザー数を増やしており、40種類以上の業務アプリケーションを1セットで利用できる「Zoho One」の提供も始まっています。

Zoho Corporation

 

お問い合わせ先

■報道関係からのお問い合わせ先: ゾーホージャパン株式会社 マーケティング部 
Mail: jp-memarketing@zohocorp.com TEL: 045-319-4613
■お客様からのお問い合わせ先: ゾーホージャパン株式会社 営業部
Mail: jp-mesales@zohocorp.com TEL: 045-319-4612
■ゾーホージャパンURL:http://www.zoho.co.jp/
■ManageEngine事業サイトURL:https://www.manageengine.jp/

※ 本資料に掲載されている製品、会社などの固有名詞は各社の商号、商標または登録商標です。®マーク、TMマークは省略しています。