独立行政法人情報処理推進機構(IPA)は1月20日、セキュリティ関連費用を可視化するお助けツール「NANBOK」を開発、公開した。同ツールは、企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用できるもの。
企業にとって複雑化、高度化するサイバー攻撃が事業継続に及ぼすリスクは見逃すことができず、一方でDXを推進して新たな価値の創出と競争優位性を高めなければならない課題がある。これらの課題に取り組むためにはセキュリティ対策が不可欠であり、そのための社内予算を確保する必要がある。
しかし、予算権限を有する経営者は、必ずしも情報システム(IT)、制御システム(OT)のセキュリティ分野に関する知見があるわけではなく、企業のセキュリティ担当者は経営者が理解できる言葉でセキュリティ対策を説明することに苦悩している。
「NANBOK」は、経営者とセキュリティ担当者のお互いが共通して認識できる言葉や数字として、IPA「情報セキュリティ10大脅威2022」に関わる事象が発生した場合の想定損失額を提示するとともに、検討の際に役立つセキュリティ製品やサービスの防御、検知機能や国内での導入状況を提示できる。
同ツールはExcelファイルとして提供されており、「TOP」シート、「HOW_TO_USE」シート、「損害額試算」シート、「算定根拠」シート、「対策と本シナリオにおける効果」シートで構成される。
「TOP」シートには、検討したい「情報セキュリティ10大脅威2022」における脅威と業界を選択するプルダウンリスト、ツールの概要を記載。
「HOW_TO_USE」シートでは、具体的なツールの使い方を詳細ステップに分けて説明。
「損害額試算」シートでは、「TOP」シートで選択した、「情報セキュリティ10大脅威2022」の各脅威の説明と、IPA考案の脅威シナリオ、利用者に入力して頂きたい自社に関する質問項目(最大18項目)、質問への回答に応じて提示される脅威シナリオにおける想定損害額とその内訳、想定損害額の計算には含めていないものの、その他に発生し得る損害項目を記載。
「算定根拠」シートには、「損害額試算」シートで想定損害額の算出に係る項目一つひとつの算定根拠を記載。また、想定損害額の計算には含めていないものの、その他に発生し得る損害項目についても参考情報を記載している。
「対策と本シナリオにおける効果」シートでは、「TOP」シートで選択した脅威シナリオにおける攻撃者の行動、「情報セキュリティ10大脅威2022」における推奨対策とそれに対応する具体的な製品やサービス、各製品・サービスの効果と考慮すべき事項と脅威シナリオにおける効果、日本国内の導入状況を記載している。
同ツールはIPAのサイトから無償でダウンロード、利用が可能。
