ゾーホージャパンは2019年9月4日、政府系や金融、大手企業向けのセキュリティコンサルティングファーム、ニュートン・コンサルティングの監修を受け、サイバーセキュリティ経営ガイドラインにより自社を評価する際に活用できるツール「サイバーセキュリティ評価チェックシート」の無料提供を開始した。
サイバーセキュリティ経営ガイドラインとは、経済産業省が策定した経営者向けのサイバーセキュリティ対策ガイドラインである。今回ゾーホージャパンが発表した「サイバーセキュリティ評価チェックシート」(図1)は、サイバーセキュリティ経営ガイドラインを各企業で適用する際に利用できる。
図1:サイバーセキュリティ評価チェックシートの例(出典:ゾーホージャパン)(2019/09/05 13:20 初出時、「サイバーセキュリティ経営チェックシート」の画像を掲載していました。これを「サイバーセキュリティ評価チェックシート」の画像に差し替えました)拡大画像表示
サイバーセキュリティ経営ガイドラインの付録には「サイバーセキュリティ経営チェックシート」がある。しかし、サイバーセキュリティ経営ガイドラインのチェックシートの重要10項目の質問は曖昧で、実際に使用する際に必要な情報が不足しているという。
この一方で、ゾーホージャパンが提供するサイバーセキュリティ評価チェックシートでは、実際の評価担当が数字で評価できるだけの材料となる「実施の目安」および「実施の確認事項」を示している。また、ニュートン・コンサルティングの知見や、以下のような主要なガイドラインの内容も取り入れている。
- JISQ15001:2017付属書A
- 重要インフラのサイバーセキュリティを改善するためのフレームワークVer1.1
- NIST SP 800-171 Revision1
- CIS Controls version7
- ISO27001:2013付属書A
- ISO27017:2015付属書A
- 中小企業の情報セキュリティ対策ガイドライン第3版
- PCI-DSSバージョン3.2.1
