ホーム > 情報処理安全確保支援士試験 > 2022年 春期
情報処理安全確保支援士試験 2022年 春期 午前2 問09
経済産業省とIPAが策定した“サイバーセキュリティ経営ガイドライン(Ver2.0)”に関する記述のうち、適切なものはどれか。
ア:経営者が実施するサイバーセキュリティ対策を投資ではなくコストとして捉えることを重視しコストパフォーマンスの良いサイバーセキュリティ対策をまとめたものである。
イ:経営者が認識すべきサイバーセキュリティに関する原則と経営者がリーダシップを発揮して取り組むべき項目を取りまとめたものである。(正解)
ウ:事業の規模やビジネスモデルによらず全ての経営者が自社に適用すべきサイバーセキュリティ対策を定めたものである。
エ:製造業のサプライチェーンを構成する小規模事業者の経営者がサイバー攻撃を受けた際に行う事後対応をまとめたものである。
解説
サイバーセキュリティ経営ガイドライン(Ver2.0)に関する問題【午前2 解説】
要点まとめ
- 結論:正解はイで、経営者がサイバーセキュリティの原則を理解しリーダーシップを発揮することを示している点が重要です。
- 根拠:ガイドラインは経営層向けに策定され、経営判断や組織全体の取り組みを促進する内容であるため、単なるコストや技術対策の羅列ではありません。
- 差がつくポイント:経営者の役割やリーダーシップに焦点を当てているか、全事業者に一律適用するものか、事後対応に限定しているかを見極めることが重要です。
正解の理由
イの選択肢は、経済産業省とIPAが策定した「サイバーセキュリティ経営ガイドライン(Ver2.0)」の趣旨に合致しています。このガイドラインは、経営者がサイバーセキュリティの重要性を認識し、経営戦略の一環としてリーダーシップを発揮しながら組織全体で取り組むべき原則や項目をまとめたものです。経営者の意識改革と組織的な対応を促す内容であり、単なる技術的対策やコスト管理の指針ではありません。
よくある誤解
サイバーセキュリティ対策を単なるコストや技術的な問題と捉えがちですが、経営層のリーダーシップと戦略的な視点が不可欠です。全事業者に同一の対策を強制するものでもありません。
解法ステップ
- 問題文の「サイバーセキュリティ経営ガイドライン(Ver2.0)」の目的を確認する。
- 経営者の役割やリーダーシップに関する記述があるかを探す。
- 各選択肢がガイドラインの趣旨(経営層の意識改革と組織的取り組み)に合致しているかを比較する。
- 技術的対策やコスト管理、事後対応に限定した内容かどうかを見極める。
- 最も適切な選択肢を選ぶ。
選択肢別の誤答解説
- ア:サイバーセキュリティ対策を「コスト」として捉えるのは誤りで、むしろ「投資」として経営判断に組み込むことが重要です。
- イ:経営者が認識すべき原則とリーダーシップを示しており、ガイドラインの本質を正しく表しています。
- ウ:事業規模やビジネスモデルに関わらず一律の対策を定めるものではなく、柔軟な適用が求められます。
- エ:事後対応だけに限定した内容ではなく、事前の経営判断や組織的な取り組みを重視しています。
補足コラム
サイバーセキュリティ経営ガイドラインは、経営者がサイバーリスクを経営リスクとして認識し、組織全体での対策を推進するための指針です。単なる技術的対策ではなく、経営戦略の一環として位置づけられているため、経営層の積極的な関与が不可欠です。また、ガイドラインは事業規模や業種に応じて柔軟に適用できるよう設計されています。
FAQ
Q: サイバーセキュリティ経営ガイドラインは誰向けに作られていますか?
A: 主に経営者や経営層を対象に、サイバーセキュリティの重要性を理解しリーダーシップを発揮するための指針です。
A: 主に経営者や経営層を対象に、サイバーセキュリティの重要性を理解しリーダーシップを発揮するための指針です。
Q: ガイドラインは全ての企業に同じ対策を求めていますか?
A: いいえ。事業規模や業種に応じて柔軟に適用されることを想定しており、一律の対策を強制するものではありません。
A: いいえ。事業規模や業種に応じて柔軟に適用されることを想定しており、一律の対策を強制するものではありません。
関連キーワード: サイバーセキュリティ経営, 経営者のリーダーシップ, サイバーリスク管理, 経済産業省, IPA