付録:プラス・セキュリティ知識補充講座カリキュラム例の詳細
経営層向け 第1単元
名称
1.基礎知識
『デジタルシステムとサイバーセキュリティの概要』
目標
● デジタルシステムとそのサイバーセキュリティ対策に関して経営層として次のような場面において適切な判断を行う上で、どのようなことを予め知っておくべきなのかの自覚を促す。
▶ 担当者による提案についての、自社のニーズ、競争力、コストなどの面からの妥当性
▶ 新たな施策に伴うリスクとその抑制策の妥当性
到達レベル ● 関係者とのコミュニケーションにおいて用いられる概念と用語について、コミュニケーションに支障の無い程度の理解を得る。
時間設定・実施方式 1時間30分(オンデマンド・省略可能)
①デジタルインフラの基本(30分)
ビジネスで用いられるデジタルアーキテクチャの構成要素とその意味について概説する。受講者の負担軽減の観点から、まとめて学習するほうがよい内容を適宜集約する。
a) デジタルサービスの提供に用いられるハードウェアの概要
b) OS、ミドルウェア、アプリケーション、クラウドの概念説明
c) IT/OT/IoTの違い、クラウド/オンライン会議の仕組み
d) デジタルビジネスの主要プレイヤー
②デジタル技術の基盤とリスク(30分)
デジタル環境の利便性の代償としてシステムトラブルやサイバーセキュリティインシデントがあり、それぞれリスクに応じた対策が用意されているが、一般に対策の効果を高めるほど、利便性又はコストに影響が及ぶ関係にあることを説明する。
a) ソフトウェアと脆弱性
b) インターネットの仕組み
c) デジタルリスクとその対策に関する技術的概念
③デジタル環境のコストと運用責任(30分)
デジタル基盤を快適に利用している中で、どこにどのように費用がかかっているのかについて、課金方法の種類を含めて説明する。また、トラブルが生じたときのベンダーとの責任分界点や、事業継続計画の必要性について説明する。
a) インターネットを安全に利用するための費用
b) デジタルサービスの約款
c) インシデント時の事業継続
経営層向け 第2単元
名称
2.脅威と対策
『サイバー空間における脅威と対策』
目標 ● 脅威および脆弱性とその対策に関する理解を通じて、サイバー空間における主要な脅威を事業上のリスクとして適切に把握できるようになる。
到達レベル ● 現在のデジタル環境では脆弱性による影響をゼロにできず、最新の脅威につねに対処していく必要があることを理解し、対策をしなかった場合の自社での被害想定ができるようになる。
時間設定・実施方式 1時間30分(オンデマンド60分、集合講習30分)
①サイバー攻撃手法とそのトレンド(オンデマンド・30分)
サイバーセキュリティリスクをもたらす脅威について、誰がどのように影響を及ぼすのかの概要を説明した上で、現在のトレンドから、今後自社にどのようなインパクトを及ぼす脅威が見込まれるのかを、具体的な被害事例を交えて説明する。
a) おもな攻撃手法
b) 脅威の関係主体と攻撃の動向
c) 最新の脅威
②脅威への対策(オンデマンド・30分)
脅威による影響を抑制する手段としてどのようなものがあるか説明する。第3単元において自社事業の内容に応じたリスクへの対応方法を扱うことを踏まえ、その前提となる基本的な考え方の理解に重点を置く。
a) 対策の具体的な運用方法
b) 対策実施上の留意点
③事例紹介(集合講習・30分)
①②をオンデマンド教材によって行うことへの補強として、具体的にリスクが発現したケースについて被害と対策の事例を紹介し、対策が期待通りに行かないのはどのような場合かなど、実践的な内容を説明する。
• ケース紹介(例:工場停止の影響)
• ゲストスピーカーによる説明(例:当事者視点でのインシデント経過の説明)
• デモンストレーション(例:ランサムウェア感染のデモ)
経営層向け 第3単元
名称
3.投資
『サイバーセキュリティと投資対効果』
目標 ● どのような場合にサイバーセキュリティリスクが企業価値の毀損を生じさせるのかを理解し、それを防ぐために日常でサイバーセキュリティ対策としてどのような投資などの方策を行うべきかに関して適切な判断を行えるようになる。
到達レベル
● 自社におけるサイバーセキュリティリスクを特定し、対応の優先順位付けや対処方針の選定を行うとともに、その実現に必要な体制構築や人材確保・育成に関する指示を行えるようになる。
● セキュリティ対策の担当者から提示されるセキュリティ対策案について、経営層として妥当性に関する判断を下せるようになる。
時間設定・実施方式 2時間10分(オンデマンド60分、集合講習70分)
①コーポレートリスクとしてのサイバーセキュリティ(オンデマンド・30分)
サイバーセキュリティリスクは他のコーポレートリスクとどのように異なるかを、対応方法を通じて理解する。受講者がリスクマネジメントそのものの考え方や保険の仕組みなどは理解していることを前提に、②以降の説明で必要となる概念を確認する。
a) サイバーセキュリティリスクのアセスメント
b) リスクへの対応方法
c) 関連法制度とコンプライアンス
②体制構築・人材確保(オンデマンド・30分)
各種公表資料を参考に、企業の特徴に応じた体制や人材確保・育成に関する考え方を理解する。
a) サイバーセキュリティ対策に関する機能と役割の考え方
b) 外部委託の考え方
c) サイバーセキュリティ体制の構築
d) サイバーセキュリティ対策に従事する人材の確保・育成
③演習1:各種対策の費用、損失想定、確率値から必要な投資を検討(集合講習:70分) サイバーセキュリティ対策における費用対効果分析の基本的な考え方について、事例を踏まえて説明する。受講者3〜4名で1チームを構成し、具体例を想定した上で、ゲーム形式で各種対策の費用、損失想定、確率値から必要な投資を検討し、トータルコストの最小化を競う。
経営層向け 第4単元
名称
4.ステークホルダーとの関係
『サイバーセキュリティと企業価値』
目標 ● サイバーセキュリティインシデントの発生時の適切な対応について理解した上で、企業価値を損なわないためにあらかじめ備えておくべきことを自社の事情に応じてイメージできるようになる。
到達レベル ● 自社におけるインシデント対応を含むサイバーセキュリティ対策に関する取組方針について、対外的に説明や意見交換ができるレベルの理解に到達する。
時間設定・実施方式 2時間20分(オンデマンド60分、集合講習80分)
①インシデント対応における経営層の役割(オンデマンド・30分)
サイバーセキュリティインシデントの対応プロセスにおいて、経営層がどの場面でどのようにかかわるのが適切なのかを理解する。
a) インシデントに備える
b) インシデント対応プロセス
②情報開示の在り方(オンデマンド・30分)
サイバーセキュリティ対策を適切に実施していることを取引先や社会に伝えることにより、企業価値の維持・向上を図る方法について理解する。
a) サイバーセキュリティに関する情報開示の考え方
b) サイバーセキュリティが企業価値に及ぼす影響
③インシデント対応と情報開示の事例から学ぶ(集合講習:30分) ①②をオンデマンド教材によって行うことへの補強として、インシデント対応と情報開示の事例を紹介し、当初の見通しと異なる状況が生じた場合の適切な対応方法等、実践的な内容を説明する。
④演習2:インシデント発生時の模擬記者会見(集合講習:50分) 受講者3〜4名で1テーブルとして、経営者役の1名が、マスメディアや企業の広報部門等で記者会見対応に関する経験を有するスタッフが演じるインタビュア役から、自社でのインシデント発生に関する模擬記者会見を行う。
(出典) NISC「プラス・セキュリティ知識補充講座 カリキュラム例」をもとに作成
部課長級向け 第1-1単元
名称
1.基礎知識
『デジタルシステムとサイバーセキュリティの概要(初級編)』
目標 ● デジタル化を推進する部門のマネジメントを担う部課長として中級編の目標に到達するために必要となる、最低限の基礎知識を習得する。
到達レベル ● デジタルシステムとインターネットおよびそれらのセキュリティ対策において用いられる最低限の知識を習得する。
時間設定・実施方式 1時間(オンデマンド・省略可能)
①デジタルインフラ入門(20分)
ビジネスで用いられるデジタルアーキテクチャの構成要素について、基本的な用語の意味を理解する。
a) デジタルサービスの提供に用いられるハードウェアの紹介
b) OS、ミドルウェア、アプリケーション、クラウドの用語説明
c) IT/OT/IoTがそれぞれ意味するもの
②サイバーセキュリティに関する用語の意味(20分)
「セキュリティは難しい」という印象を与える背景として、「脆弱性」など日常で用いられないさまざまな用語が用いられることから、よく用いられるサイバーセキュリティ用語の意味の説明を通じて理解を深める。なお、サイバーセキュリティ用語を説明する上で必要となる、ソフトウェアやネットワークに関する用語についても併せて説明する。
a) ソフトウェア開発と脆弱性
b) インターネットの仕組み
c) デジタルのリスクに関する諸概念
③デジタル環境の管理や責任に関するキーワード(20分)
インターネットを通じたサービスなどの提供主体と責任に関する用語について説明する。
a) デジタルビジネスの提供者に関する用語
b) 管理と責任の所在
部課長級向け 第1-2単元
名称
1.基礎知識
『デジタルシステムとサイバーセキュリティの概要(中級編)』
目標
デジタル化を推進する部門のマネジメントを担う部課長として次のような場面において適切な判断を行う上で、どのようなことを予め知っておくべきなのかの自覚を促す。
● 担当者による提案についての、自社のニーズ、競争力、コストなどの面からの妥当性
● 新たな施策に伴うリスクとその抑制策の妥当性
到達レベル ● デジタルシステムとサイバーセキュリティに関する用語と概念について、第2単元目以降の学習を行うために予め習得しておくべきレベルに到達させる。具体的には、対象とする用語と概念を用いて、デジタルシステムやサイバーセキュリティ対策に関するソリューションを提供するベンダーとの実用的な対話に支障の無い程度の理解を得ることにする。
時間設定・実施方式 1時間30分(オンデマンド・必須)
①デジタルインフラの要点(30分)
ビジネスで用いられるデジタルアーキテクチャの構成要素とその意味について概説する。
a) デジタルサービスの提供に用いられるハードウェアの構成要素
b) OS、ミドルウェア、アプリケーション、クラウドなどの概念説明
c) IT/OT/IoTの違い、クラウド/オンライン会議の仕組み
d) デジタルビジネスの主要プレイヤーの役割
②デジタル技術の基盤とリスク(30分)
デジタル環境の利便性の代償としてシステムトラブルやサイバーセキュリティインシデントがあり、それぞれリスクに応じた対策が用意されているが、一般に対策の効果を高めるほど、利便性又はコストに影響が及ぶ関係にあることを説明する。
a) ソフトウェア開発と脆弱性
b) デジタルリスクとその対策に関する技術的概念
③デジタル環境のコストと運用責任(30分)
デジタル基盤を快適に利用している中で、どこにどのように費用がかかっているのかについて、課金方法の種類を含めて説明する。また、トラブルが生じたときのベンダーとの責任分界点や、事業継続計画の必要性について説明する。
a) インターネットを安全に利用するための費用
b) デジタルサービスの約款
c) インシデント時の事業継続
部課長級向け 第2単元
名称
2.脅威と対策
『サイバー空間における脅威と対策』
目標 脅威および脆弱性とその対策に関する理解を通じて、サイバー空間における主要な脅威を事業上のリスクとして適切に把握できるようになる。
到達レベル ● 現在のデジタル環境では脆弱性による影響をゼロにできず、最新の脅威につねに対処していく必要があることを理解し、対策をしなかった場合の自社での被害想定ができるようになる。
時間設定・実施方式 2時間30分(オンデマンド60分、集合講習90分)
①サイバー攻撃手法とそのトレンド(オンデマンド・30分)
サイバーセキュリティリスクをもたらす脅威について、誰がどのように影響を及ぼすのかの概要を説明した上で、現在のトレンドから、今後自社にどのようなインパクトを及ぼす脅威が見込まれるのかを、具体的な被害事例を交えて説明する。
a) おもな攻撃手法
b) 脅威の関係主体と攻撃の動向
c) 最新の脅威
②脅威への対策(オンデマンド・30分)
脅威による影響を抑制する手段としてどのようなものがあるか説明する。第3単元において自社事業の内容に応じたリスクへの対応方法を扱うことを踏まえ、その前提となる基本的な考え方の理解に重点を置く。
a) 対策の具体的な運用方法
b) 対策実施上の留意点
③事例紹介(集合講習:30分) ①②をオンデマンド教材によって行うことへの補強として、具体的な脅威と対策の事例を紹介し、対策が期待通りに行かないのはどのような場合かなど、実践的な内容を説明する。<デモンストレーションの実施についても検討>
④演習1:脅威と対策における“悪い見本”から学ぶ(集合講習:60分) 受講者3〜4名で1テーブルとして、仮想の企業が実施する脅威への不適切な事前準備(リスク評価、資産管理、パッチ適用、従業員教育など)に関する動画(8分程度)を視聴し、どこに問題があるかを理由と共に指摘し合う。なお、本ディスカッションでは問題の抽出のみにとどめ、対策方法には踏み込まない。
部課長級向け 第3単元
名称
3.投資
『サイバーセキュリティとリスク対応』
目標 自部署におけるサイバーセキュリティリスクのマネジメントに必要となる概念と、具体的なアクションについて理解する。
到達レベル
● 部署におけるサイバーセキュリティリスクを特定し、対応の優先順位付けや対処方針の選定を行うとともに、その実現に必要な体制や要員の確保・育成を行えるようになる。
● 担当者や社外ベンダーから提示されるセキュリティ対策案について、組織として妥当性に関する判断を下せるようになる。
時間設定・実施方式 2時間30分(オンデマンド60分、集合講習90分)
①サイバーセキュリティのリスクマネジメントの特徴(オンデマンド・30分)
サイバーセキュリティリスクは他のコーポレートリスクとどのように異なるかを、対応方法を通じて理解する。
a) サイバーセキュリティにおけるリスクの特徴
b) リスクへの対応方法
c) サイバーセキュリティ対策に関する機能と役割の考え方
②対策における費用と損失の考え方(オンデマンド・30分)
費用をかけてサイバーセキュリティ対策を実施しても、インシデントが生じない場合の効果が見えにくい。その場合に「何も対策をしていなければ」といった仮定により想定される損失額を試算し、妥当性を評価する方法について理解する。
a) サイバーセキュリティインシデントによる損失
b) 発生確率の考え方
c) 費用と効果のバランス
③リスクマネジメントのケーススタディ(集合講習:30分) ①②をオンデマンド教材によって行うことへの補強として、具体的なリスク対応体制の事例を紹介し、発生確率や被害の大きさに関する仮定の置き方によってどのように分析結果が変化するかなど、実践的な内容を説明する。
④演習2:自部署リスクとその対応策を洗い出し、リスク管理部門などへ説明(集合講習:60分) 受講者3〜4名で1チームを構成し、各参加者はあらかじめ自業種のビジネスモデルと想定するリスクについて整理したものを持ち寄る。それを他の参加者でサイバーセキュリティリスクがどのようなところにあるかを、第3単元の内容をもとに相互に指摘する。それについて、第3単元で学習したリスクの低減策のうち、どれを適用すべきかを2の内容を踏まえて受講者で議論。1クール12〜15分+講師の講評で構成。
部課長級向け 第4単元
名称
4.ステークホルダーとの関係
『サイバーセキュリティ対応における社内外連携』
目標 デジタル化を推進していく際のサイバーセキュリティ対策、運用時のインシデントへの適切な対応について理解した上で、その効果を担保するために実施すべき情報開示や連絡の内容と効果的な方法について理解し、実践できるようになる。
到達レベル ● 自部署に係るサイバーセキュリティ対策に関する社内外のコミュニケーション(情報収集、協議、エスカレーションなど)について、実用レベルで実施できる。
時間設定・実施方式 2時間30分(オンデマンド60分、集合講習90分)
①インシデント対応プロセスとその準備(オンデマンド・30分)
サイバーセキュリティインシデントの対応プロセスの一連の流れを理解する。
a) インシデントに備える
b) インシデント対応プロセス
②インシデント時の情報の取扱上のポイント(オンデマンド・30分)
即応性や要求されるインシデント発生時に、社内関係者や取引先との間でどのような情報のやりとりが必要になるか、そのために予め準備しておくことは何か、確実性を含む情報をどのように取り扱うべきかなどについて理解する。
a) インシデント時に提供すべき情報の種類と流れ
b) 不確実性を含む情報の取扱い
③インシデント対応と情報開示の事例から学ぶ(集合講習:30分) ①②をオンデマンド教材によって行うことへの補強として、インシデント対応と情報開示の事例を紹介し、当初の見通しと異なる状況が生じた場合の適切な対応方法など、実践的な内容を説明する。
④演習3:インシデント発生時の社内外連絡(集合講習:60分) 受講者3〜6名で1テーブルとして、社内関係者や取引先の役割を演じる受講者に対し、所管部署の事業を通じて発生したインシデントに関する情報を伝え、不満や混乱を生じさせないためにはどのような点に留意すべきかを工夫する。あらかじめ講師側にてインシデントのシナリオを作成しておき、被害状況やSOCから提供される情報を時間経過に応じて小出しの形で提供する。小出しする方法はカードに記載して提示、あるいはオンライン会議システムのチャット機能で提供するなど工夫してよい。最終的に、判断が適切に行えていたか否かを自己評価し、講師側の評価と対比する。
部課長級向け 第5単元
名称
5.関連法令
『サイバーセキュリティに関する法制度』
目標 サイバーセキュリティ対策で関連する法律、基準、ガイドラインなどについて、実用上支障が無い程度の理解を得る。
到達レベル ● デジタル化に関連する取組の中で、遵守すべき法律、基準、ガイドラインなどを意識することができる。
時間設定・実施方式 1時間(オンデマンド・必須)
①サイバーセキュリティに関する国内法令とその読み方(20分)
サイバーセキュリティ対策の企画・実践に従事する要員が留意すべき法令と具体的な解釈の方法について、『サイバーセキュリティ関係法令Q&Aハンドブック』の活用を前提に紹介する。
a) サイバーセキュリティ対策において留意すべき法令
b) 『サイバーセキュリティ関係法令Q&Aハンドブック』の活用
②サイバーセキュリティに関する基準・規格など(20分)
サイバーセキュリティ対策を実践する上で留意すべき国際基準や規格などについて紹介する。
a) サイバーセキュリティに関する基準・規格など
③サイバーセキュリティに関するガイドラインなど(20分)
企業がサイバーセキュリティ対策を実践する上で活用が有益なガイドライン・フレームワークなどを紹介する。
a) サイバーセキュリティに関するガイドライン・フレームワークなど
(出典) NISC「プラス・セキュリティ知識補充講座 カリキュラム例」をもとに作成
