（第1章～第4章）

サイバーセキュリティを取り巻く背景として、デジタル化が進む社会と情報技術（IT）活用の動向を解説し、基本的なサイバーセキュリティ知識やUTM・EDRの活用を振り返りました。また、サイバーセキュリティの脅威に対処する段階的なアプローチ方法を明確にするとともに、サイバーセキュリティ戦略に関連する国の方針と関連法令、セキュリティ確保とDX推進の両立の必要性について解説しました。

（第５章～第６章）

実際のインシデント事例を通して、近年のサイバー攻撃の傾向や対策などを紹介しました。これからの企業経営で必要な観点となる社会の動向、「守りのIT投資」や「攻めのIT投資」などのIT投資や、経営投資としてのセキュリティ対策の重要性を説明しました。

（第7章～第8章）

ISMS認証を前提としたセキュリティ対策における基準を3段階にレベル分けし、それぞれのアプローチ手法について解説しました。さらに、ISO/IEC 27000に記述されている「リスク」、「脅威」、「脆弱性」、「管理策」といった用語の定義とそれらの関係性、脅威や脆弱性の識別方法を説明しました。

（第9章）

実際のセキュリティインシデントの事例を踏まえ、自社での発生可能性や被害規模を慎重に検討し、対策基準や実施手順を策定していく手法である、Lv.1クイックアプローチについて解説しました。

（第10章）

ガイドラインやひな型など既存の手法を参考にして対策基準や実施手順を策定する手法である、Lv.2ベースラインアプローチについて解説しました。

（第11章～第12章）

サイバーセキュリティ対策における代表的なフレームワーク（ISMS、CSF2.0、CPSFなど）の概要と、リスクマネジメントやリスクアセスメントの手法、リスク対応の考え方について説明しました。

（第13章～第19章）

ISMSのフレームワークを用いて、体系的・網羅的にセキュリティ対策基準、実施手順を作成するLv.3網羅的アプローチについて説明しました。ISMSの管理策（組織的、人的、物理的、技術的管理策）をもとに、対策基準を策定する手順と、策定した対策基準をもとに具体的な実施手順を策定する方法を説明しました。最後に、内部・外部監査によるセキュリティ対策の有効性評価について解説しました。

（第20章～第21章）

デジタル・ガバメント推進標準ガイドラインなどが示すサービスシステム構築と運用の工程を参考に、中小企業においても有効な情報システムを導入する流れと、セキュリティ対策の実装と運用ポイントを説明しました。ECサイトを例にとり、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を解説しました。

（第22章～第25章）

各種スキル標準のフレームワークをもとに、必要とされる新しいスキルや知識、ITおよびデジタル人材のスキル、知識の認定制度について解説するとともに、必要な知識やスキルを備えた人材の育成・確保のために、関係機関が公表しているセキュリティ関連のカリキュラムを紹介しました。また紹介したカリキュラムなどを活用して教育・研修計画を作成する方法を解説しました。

（第26章～第28章）

サイバー攻撃やシステム障害などの事態が発生した場合でも事業を継続し、速やかに復旧・改善するために必要となるサイバーレジリエンス能力について解説しました。従来の侵入防止を中心とした対策に加え、インシデント対応計画やIT-BCPを含めた対応・復旧・改善の考え方を整理し、中小企業において段階的に取り組むための実践的な方向性を解説しました。

（第29章）

生成AIの利活用が進展する中で、企業が留意すべきリスクとガバナンスの考え方について解説しました。ISO/IEC 42001などの国際標準を参考に、情報セキュリティ、法令遵守、倫理を含めたAIマネジメントシステムの基本的な枠組みを整理し、組織として適切に生成AIを管理・運用するための方向性を説明しました。