・攻撃を受けた際の適切な手順を習得した人材の数、社内システムへの不正侵入を発見するまでの平均時間、などの47項目のKPIで構成されている

・KPIを達成するとサイバー被害の損失額を軽減できる仕組み。例えば対応手順を習得した人材が多いほど、サイバー被害に遭っても原因の追究やシステム復旧作業が早くなり、それらに発生する費用を抑えられる

・KPIは企業のサイバー対策の成熟度に応じて3段階

・初級は法規制やガイドラインの準拠率を推奨し、上級向けでは取引先への監査の進捗率などの指標を設定し、自社内にとどまらずサプライチェーン（供給網）への監督も推奨する

で、このツールを現実世界でどう活用するのか？ということですが、中身を読んでみるとざっくりとこう書かれてます。

①CISO、セキュリティ部⾨の責任者などが期初の⽬標設定時に、⾃組織の成熟度を設定する(ツール内から選ぶイメージ)

②重点的に取り組むKPIを選択し、経営層の合意を得る

③KPIを達成するための施策を⽴案し、各メンバーやグループ企業などに展開する

④これは書かれてはいませんが、最後はお決まりの「評価＆改善的な活動」が必要でしょう

注意するべき点は、このツールのみではKPIを達成するための具体的な施策には言及されていないので、各種ガイドライン等(ISMS、PCIDSSなど)を見ながら施策を考える必要があります！

つまり、このツールの本質は「うちって、どのくらいセキュリティレベルなの？」を評価するためのツールなわけですね( ´艸｀!!!

今回は簡単なまとめがメインですので、より詳細を知りたい！という方は以下のURLから原本をみてみると良いかもしれません。