26-1. 全体要旨

第1編. サイバーセキュリティを取り巻く背景 【レベル共通】
（第1章〜第4章） サイバーセキュリティを取り巻く背景として、デジタル化が進む社会と情報技術（IT）活用の動向を解説し、基本的なサイバーセキュリティ知識やUTM・EDRの活用を振り返りました。また、サイバーセキュリティの脅威に対処する段階的なアプローチ方法を明確にするとともに、サイバーセキュリティ戦略に関連する国の方針と関連法令、セキュリティ確保とDX推進の両⽴の必要性について解説しました。

第2編. 中⼩企業に求められるデジタル化の推進とサイバーセキュリティ対策 【レベル共通】
（第５章〜第６章） 実際のインシデント事例を通して、近年のサイバー攻撃の傾向や対策などを紹介しました。これからの企業経営で必要な観点となる社会の動向、「守りのIT投資」や「攻めのIT投資」などのIT投資や、経営投資としてのセキュリティ対策の重要性を説明しました。

第3編 これからの企業経営で必要なIT活用とサイバーセキュリティ対策 【レベル共通】
（第7章〜第8章） ISMS認証を前提としたセキュリティ対策における基準を3段階にレベル分けし、それぞれのアプローチ手法について解説しました。さらに、ISO/IEC27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義とそれらの関係性、脅威や脆弱性の識別方法を説明しました。

第4編 セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施 【レベル1】
（第9章） 実際のセキュリティインシデントの事例を踏まえ、⾃社での発⽣可能性や被害規模を慎重に検討し、対策基準や実施手順を策定していく手法である、Lv.1 クイックアプローチについて解説しました。

第5編 各種ガイドラインを参考にした対策の実施 【レベル2】
（第10章） ガイドラインやひな型など既存の手法を参考にして対策基準や実施手順を策定する手法である、Lv.2 ベースラインアプローチについて解説しました。

第6編 ISMSなどのフレームワークの種類と活用法の紹介 【レベル3】
（第11章〜第12章） サイバーセキュリティ対策における代表的なフレームワーク（ISMS、CSF2.0、CPSFなど）の概要と、リスクマネジメントやリスクアセスメントの手法、リスク対応の考え方について説明しました。

第7編 ISMSの構築と対策基準の策定と実施手順 【レベル3】
（第13章〜第19章） ISMSのフレームワークを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成するLv.3 網羅的アプローチについて説明しました。ISMSの管理策（組織的、⼈的、物理的、技術的管理策）をもとに、対策基準を策定する手順と、策定した対策基準をもとに具体的な実施手順を策定する方法を説明しました。最後に、内部・外部監査によるセキュリティ対策の有効性評価について解説しました。

第8編 具体的な構築・運用の実践 【レベル3】
（第20章〜第21章） デジタル・ガバメント推進標準ガイドラインなどが⽰すサービスシステム構築と運用の⼯程を参考に、中⼩企業においても有効な情報システムを導⼊する流れと、セキュリティ対策の実装と運用ポイントを説明しました。ECサイトを例にとり、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を解説しました。

第9編 組織として実践するためのスキル・知識と⼈材育成 【レベル共通】
（第22章〜第25章） 各種スキル標準のフレームワークをもとに、必要とされる新しいスキルや知識、ITおよびデジタル⼈材のスキル、知識の認定制度について解説するとともに、必要な知識やスキルを備えた⼈材の育成・確保のために、関係機関が公表しているセキュリティ関連のカリキュラムを紹介しました。また紹介したカリキュラムなどを活用して教育・研修計画を作成する方法を解説しました。