24-1. プラス・セキュリティ知識補充講座カリキュラム例

　「プラス・セキュリティ知識補充講座」は、内閣サイバーセキュリティセンター（NISC）が提供するプログラムで、特に経営層やデジタルトランスフォーメーション（DX）を推進する部課長向けに設計されています。この講座は、企業内外のセキュリティ専門人材との協働を円滑に行うために必要な知識を補充することを目的としています。
具体的には、以下のように経営層向けとデジタル化推進部門の部課長級マネジメント層向けの2つのカリキュラムで構成されています。

● 経営層
企業のセキュリティリスクに対する理解を深め、経営判断に役立つ知識を提供。
● デジタル化推進部門の部課長級マネジメント層
業務や製品・サービスのデジタル化を推進する役割を担う部門の管理職向けに、セキュリティリスク管理やデジタル化に伴うセキュリティ対策を強化する知識を提供。

理想とする目標

経営層（必ずしもDXを担当している部署の担当役員などではなく、経営層全体） ● サイバーセキュリティに関する動向が自社のコーポレートリスクに与える影響を的確に把握できる。
● 上記の影響を踏まえ、自社のセキュリティ体制構築・投資の決定・指示を的確に実行できる。
● 万一のインシデント発生時に、的確に経営判断を行い、指示をできる。

業務、製品・サービスのデジタル化を推進する部門のマネジメントを担う部課長級 ● サイバーセキュリティに関する動向が自社の担当する事業・自部署に与える影響を的確に把握できる。
● 上記の影響を踏まえつつ、自部署で実施されている対策の現状を理解できる。
● 上記について、経営層が的確な経営判断をできるよう、自ら説明・報告できる。
● 上記を実施するために、社内（情報システム部門など）・社外（ベンダーなど）と、円滑にコミュニケーションできる。

（出典） NISC「プラス・セキュリティ知識補充講座カリキュラム例」をもとに作成

　このカリキュラムは、企業内研修のプログラムを策定する際に参考にできるよう設計されており、対象別の目標・到達レベルは以下の通りです。
カリキュラム受講後の到達レベルは、以下の表の「中」のレベルを想定しています。つまり、専門家との意見交換ができるレベルを目指したものとなっています。

【レベル】高

理解自らの役割に必要な知識を概ね網羅的に習得し、理解している

コミュニケーション自ら把握すべきことを洗い出し、専門家を含む適切な対象者に回答を求めることができる

評価・分析脅威や脆弱性が自組織に及ぼす影響を評価できる

判断自らの知識のみで、自組織での対応に関する適切な判断ができる

【レベル】中

理解 自らの役割に必要な知識の全体像を把握した上で、その一部について理解していることを自覚している

コミュニケーション 専門家との意見交換ができる

評価・分析 脅威や脆弱性がどのように自組織に影響を及ぼすのかを理解できる

判断 専門家の判断について、根拠を理解して合意を与えることができる

【レベル】低

理解サイバーセキュリティ関連文書に用いられる用語の意味を理解している

コミュニケーション専門家からの説明を概ね理解することができる

評価・分析脅威や脆弱性とは何かを理解している

判断自らの知識のみでは判断に関与することが困難

カリキュラム例の構成は以下の通りです。

★:集合講習での開催が推奨されるもの（受講必須）
◆:オンライン・オンデマンド形式での実施を想定（受講必須）
◇:オンライン・オンデマンド形式での実施を想定（受講任意）

（出典） NISC「プラス・セキュリティ知識補充講座カリキュラム例」をもとに作成

24-1-1. 経営層向けカリキュラム例

　経営層向けカリキュラム例を紹介します。カリキュラムは、4単元で構成されます。

経営層向け第1単元

名称 1.基礎知識
『デジタルシステムとサイバーセキュリティの概要』

目標 ● デジタルシステムとそのサイバーセキュリティ対策に関して経営層として次のような場面において適切な判断を行う上で、どのようなことを予め知っておくべきなのかの自覚を促す。
　▶ 担当者による提案についての、自社のニーズ、競争力、コストなどの面からの妥当性
　▶ 新たな施策に伴うリスクとその抑制策の妥当性

到達レベル ● 関係者とのコミュニケーションにおいて用いられる概念と用語について、コミュニケーションに支障の無い程度の理解を得る。

経営層向け第2単元

名称 2.脅威と対策
『サイバー空間における脅威と対策』

目標 ● 脅威および脆弱性とその対策に関する理解を通じて、サイバー空間における主要な脅威を事業上のリスクとして適切に把握できるようになる。

到達レベル ● 現在のデジタル環境では脆弱性による影響をゼロにできず、最新の脅威につねに対処していく必要があることを理解し、対策をしなかった場合の自社での被害想定ができるようになる。

経営層向け第3単元

名称 3.投資
『サイバーセキュリティと投資対効果』

目標 ● どのような場合にサイバーセキュリティリスクが企業価値の毀損を生じさせるのかを理解し、それを防ぐために日常でサイバーセキュリティ対策としてどのような投資などの方策を行うべきかに関して適切な判断を行えるようになる。

到達レベル ● 自社におけるサイバーセキュリティリスクを特定し、対応の優先順位付けや対処方針の選定を行うとともに、その実現に必要な体制構築や人材確保・育成に関する指示を行えるようになる。
● セキュリティ対策の担当者から提示されるセキュリティ対策案について、経営層として妥当性に関する判断を下せるようになる。

経営層向け第4単元

名称 4.ステークホルダーとの関係
『サイバーセキュリティと企業価値』

目標 ● サイバーセキュリティインシデントの発生時の適切な対応について理解した上で、企業価値を損なわないためにあらかじめ備えておくべきことを自社の事情に応じてイメージできるようになる。

到達レベル ● 自社におけるインシデント対応を含むサイバーセキュリティ対策に関する取組方針について、対外的に説明や意見交換ができるレベルの理解に到達する。

（出典） NISC「プラス・セキュリティ知識補充講座カリキュラム例」をもとに作成

　カリキュラム例の詳細については、「付録:プラス・セキュリティ知識補充講座カリキュラム例の詳細」に記載しています。

詳細理解のため参考となる文献（参考文献）

プラス・セキュリティ知識補充講座カリキュラム例

24-1-2. 部課長級向けカリキュラム例

　部課長級向けカリキュラム例を紹介します。カリキュラムは、5単元で構成されます。

部課長級向け第1-1単元

名称 1.基礎知識
『デジタルシステムとサイバーセキュリティの概要（初級編）』

目標 ● デジタル化を推進する部門のマネジメントを担う部課長として中級編の目標に到達するために必要となる、最低限の基礎知識を習得する。

到達レベル ● デジタルシステムとインターネットおよびそれらのセキュリティ対策において用いられる最低限の知識を習得する。

部課長級向け第1-2単元

名称 1.基礎知識
『デジタルシステムとサイバーセキュリティの概要（中級編）』

目標 ● デジタル化を推進する部門のマネジメントを担う部課長として次のような場面において適切な判断を行う上で、どのようなことを予め知っておくべきなのかの自覚を促す。
　▶ 担当者による提案についての、自社のニーズ、競争力、コストなどの面からの妥当性
　▶ 新たな施策に伴うリスクとその抑制策の妥当性

到達レベル ● デジタルシステムとサイバーセキュリティに関する用語と概念について、第2単元目以降の学習を行うために予め習得しておくべきレベルに到達させる。具体的には、対象とする用語と概念を用いて、デジタルシステムやサイバーセキュリティ対策に関するソリューションを提供するベンダーとの実用的な対話に支障の無い程度の理解を得ることにする。

部課長級向け第2単元

名称 2.脅威と対策
『サイバー空間における脅威と対策』

部課長級向け第3単元

名称 3.投資
『サイバーセキュリティとリスク対応』

目標 ● 自部署におけるサイバーセキュリティリスクのマネジメントに必要となる概念と、具体的なアクションについて理解する。

到達レベル ● 部署におけるサイバーセキュリティリスクを特定し、対応の優先順位付けや対処方針の選定を行うとともに、その実現に必要な体制や要員の確保・育成を行えるようになる。
● 担当者や社外ベンダーから提示されるセキュリティ対策案について、組織として妥当性に関する判断を下せるようになる。

部課長級向け第4単元

名称 4.ステークホルダーとの関係
『サイバーセキュリティ対応における社内外連携』

目標 ● デジタル化を推進していく際のサイバーセキュリティ対策、運用時のインシデントへの適切な対応について理解した上で、その効果を担保するために実施すべき情報開示や連絡の内容と効果的な方法について理解し、実践できるようになる。

到達レベル ● 自部署に係るサイバーセキュリティ対策に関する社内外のコミュニケーション（情報収集、協議、エスカレーションなど）について、実用レベルで実施できる。

部課長級向け第5単元

名称 5.関連法令
『サイバーセキュリティに関する法制度』