【詳細解説】サイバーセキュリティ・ガバナンスにおける主要フレームワークのカバレージと相関関係（情報セキュリティ管理基準とSCS評価制度の対応）

2026年6月25日 東京都 校正
2026年6月25日 生成AI 原案作成

1. 現代のセキュリティ統治における多層的アプローチの必然性

産業社会がデジタル空間と物理空間を高度に融合させる「Society 5.0」へと移行する中で、組織が直面するセキュリティリスクは技術的な単一の脆弱性から、サプライチェーン、物理環境、人工知能（AI）の自律的プロセス、さらには事業中断を伴うレジリエンス領域へと拡大しています1。このような複合的脅威に対抗するためには、複数の標準規格や基準がカバーする領域（カバレージ）を精緻に分解し、それぞれの相関関係を体系化することが不可欠です5。
現在、制御システム（OT）への攻撃、サードパーティ製ソフトウェアや委託先を介したサプライチェーン侵害、AI特有の倫理・データ品質リスク、自然災害やサイバー攻撃による長期的な事業停止など、個別のシステム管理だけでは対処困難な「複合化された危機」が発生しています5。これに対し、各国の規制当局や国際標準化団体はそれぞれ、異なる強みを持つフレームワークを整備・進化させてきました5。
本レポートは、日本国内のセキュリティ統治の基礎となる経済産業省の「情報セキュリティ管理基準」から、国際標準のデファクトである「ISO/IEC 27001/27002」、米国の「NIST サイバーセキュリティフレームワーク」、新興する「AI マネジメントシステム（ISO/IEC 42001）」、事業継続を支える「ISO 22301」、我が国のサイバー・フィジカル融合に特化した「CPSF」、そして2026年に構築された最新の「SCS評価制度」に至る主要フレームワークを対象とします5。それぞれの最新版におけるカバレージを抽出し、それらがどのように連携して組織全体のレジリエンスを形成するかを分析・解説します。

2. 各フレームワークの機能要件と詳細カバレージ

組織が統合的なガバナンスを構築するためには、まず各フレームワークの最新版がカバーする領域と、その構造を詳細に理解する必要があります2。

2.1. 情報セキュリティ管理基準（経済産業省 令和7年版）

経済産業省が策定する「情報セキュリティ管理基準（令和7年経済産業省告示第124号）」は、国内のセキュリティ統治および監査の実務基準として機能しています15。本基準は、監督を行う「取締役会等」と業務執行を行う「経営者」の役割・責任を明確に分離したITガバナンス・マネジメント構造を定めています16。

2.1.1. ISMS（ISO/IEC 27001/27002）およびNIST CSFへの準拠・整合

本管理基準は、グローバルスタンダードとの完全な一元化を企図し、以下の規格・フレームワークに準拠して作成されています9。

• JIS Q 27001 (ISO/IEC 27001:2022)への準拠： 「第3章 ガバナンス基準」および「第4章 マネジメント基準」は、JIS Q 27001の本文（箇条4「組織の状況」〜箇条10「改善」）の要求事項に完全に準拠して作成されています17。ISMSの核心である「状況把握、リスクアセスメント、PDCAサイクル、トップマネジメントのリーダーシップ」を包含しています9。
• JIS Q 27002 (ISO/IEC 27002:2022)への準拠： 本基準が提供する「管理策基準」は、JIS Q 27002（およびISO/IEC 27001の附属書A）で定義された93の管理策に1対1で準拠しています15。従来の14箇条から「組織的、人的、物理的、技術的」の4つのテーマへと構造が完全に統合・整理されています9。
• NIST CSF 2.0への準拠と取り込み： ガバナンス主体（取締役会等）による全社的リスクの監督と投資意思決定（ガバナンス目的2・3）において、NIST CSF 2.0の「Govern（統治）」機能の思想を深く取り込んでいます8。また、従来の受動的防御から、脅威インテリジェンスフィードを活用した「能動的・予測的防御」への転換（CSF 2.0の「Detect」機能等に対応）を管理策基準（組織的管理策5.7、技術的管理策8.16等）に組み込んでいます8。

ガバナンス主体が設定すべき4つのガバナンス目的が以下のように明示されています19。

• 目的1：組織体全体の統合された包括的情報セキュリティを確立する3
• 目的2：リスクに基づく取組を採用して意思決定を行う5
• 目的3：投資の方向性を決定する8
• 目的4：内部及び外部の要求事項との適合性を確実にする8

技術的管理策においては、受動的防御から脅威情報を活用した「能動的・予測的防御」への転換が強く推奨されています9。具体的には、非本番環境（開発・テスト環境）における機密データを保護するためのデータマスキング（仮名化、匿名化、トークン化技術の適用）や、監視カメラ（CCTV）・入退室管理・侵入検知アラートを統合した高度な物理的セキュリティ監視が定義されています11。また、本基準は政府機関等が導入するISMAP（政府情報システムのためのセキュリティ評価制度）の基礎となっており、ISMAP管理基準（令和7年12月版）では、ISOに準じた4つのテーマに「クラウドサービス固有の管理策」を加えた5つの分類（253項目）にスマート化された詳細管理策が適用されています9。

2.2. ISO/IEC 27001 および ISO/IEC 27002（2022年版 / 2024年追補）

ISMS（情報セキュリティマネジメントシステム）の国際要求事項を定めるISO/IEC 27001（JIS Q 27001:2023）およびISO/IEC 27002は、世界的なデファクトスタンダードです3。本規格のカバレージは、マネジメントシステムの共通構造（MSS共通テキスト / Harmonized Structure）を定めた「本文（箇条4〜10）」と、実践的なコントロール手段を定めた「附属書A（4つのテーマ・93の管理策）」で構成されます3。また、2024年2月には全ISO規格の共通要件として「気候変動への配慮」に関する追補が行われ、自社の状況理解プロセスに気候変動の潜在的影響の特定が組み込まれました8。
最新規格（ISO/IEC 27001:2022 / JIS Q 27001:2023）の主要な機能要件と実務上の意義は以下の通りです3。

区分	最新規格の要件	実務上の意義と主たる統制目的
マネジメント共通テキスト	MSS共通テキスト（Harmonized Structure）に準拠した基本構造21	他のISO規格（AIMSやBCMS等）との統合運用性（親和性）の向上21
要求事項 6.3	「変更の計画策定」の明確な実施プロセスの定義22	システムや組織変更に伴うセキュリティの真空地帯（リスクの見落とし）を防止24
要求事項 8.1	外部から提供されるプロセス、製品またはサービスの管理徹底2	クラウドサービス（SaaS/IaaS）やサードパーティコンポーネントの管理義務の明確化5
要求事項 5.2, 6.2, 9.3等	「文書化した情報を利用可能な状態にする」というアクセシビリティの要求25	単なるアーカイブ化を排し、現場での迅速な参照可能性と実用性を重視6
附属書Aの構造	4つのテーマ（組織的、人的、物理的、技術的）・93項目の統合管理5	管理策の重複を排除し、現代的な脅威ドメインに即した整理を実施7
新規追加された管理策	クラウドサービス利用（5.23）、脅威インテリジェンス（5.7）、データマスキング（8.11）等を含む11項目12	クラウドネイティブ環境や能動的・予測的防御ドメインの補強16

2.3. NIST サイバーセキュリティフレームワーク（CSF 2.0）

NIST CSF 2.0は、あらゆる規模やリソースの組織、企業、政府機関を適用スコープとして設計された、サイバーリスク管理のフレームワークです5。段階的な実装アプローチを支援する「実装例（Implementation Examples）」を拡充していることが特徴です5。
構造の中核として「Govern（統治）」機能を含む6つの機能（Govern, Identify, Protect, Detect, Respond, Recover）が定義されており、セキュリティを全社的リスクマネジメント（ERM）として位置づけています8。Govern機能の下には、サイバーセキュリティサプライチェーンリスクマネジメント（C-SCRM：GV.SC）が組み込まれ、サプライヤーの事前調査、監査、契約条項へのセキュリティ要件の埋め込みが要請されます8。
また、CSF 2.0は、ITだけでなくOT（制御システム・運用技術）やICS（産業用制御システム）関連規格との統合を考慮し、以下の実践的な技術対策を実装例として提示しています8。

• ネットワークセグメンテーションの義務化： ITとOT間の相互通信に際し、ファイアウォール、要塞ホスト（Bastion Host）、ジャンプボックス、またはDMZ（非武装地帯）などの中間デバイスの介在を必須とし、これらを厳格にログ監視する26。
• 認証試行の失敗検知： すべての自動ログインや手動ログインの試行失敗を追跡し、短時間に複数回の失敗が発生した場合は即座にセキュリティチームにアラートを検知・ログ記録する11。
• 暗号化および移行準備： 転送中データの保護のためにSSL/TLSの最新プロトコルを採用し、さらに将来的なポスト量子暗号（PQC）への移行期を見据えた、脆弱な暗号方式の検出を行う11。
• 物理媒体およびポートの制限： USBポートや取り外し可能な各種記憶媒体の接続を防止するポリシーを定め、AutoRun（自動実行機能）を無効化する11。
• OTのインターネット接続制限： 運用上不可避な場合を除き、OT資産の公衆インターネットへの直接接続を原則禁止とし、接続する場合は書面による正当事由の文書化と追加の検知制御を求める11。

2.4. AI マネジメントシステム（AIMS / ISO/IEC 42001:2023）

ISO/IEC 42001は、自律的に学習し、統計的パターンに基づいて不確実な挙動を示すAIシステム（生成AI、機械学習等）を「責任を持って開発、提供、利用」するための包括的なマネジメントシステム規格です6。決定プロセスの不透明性（ブラックボックス問題）、学習データに潜むバイアスの増幅、著作権侵害、社会や個人に対する不利益な意思決定など、AI特有のリスクを適切に管理するための仕組みを確立します12。
AIMSのカバレージの中核をなすのは、AI特有のリスクを処理するために定義された「附属書A（10のカテゴリー、38の管理策）」です24。

• A.2：AIに関する方針 組織の倫理規定や法規制と整合した「AI方針」の策定、周知、および定期的なレビューの実施24。
• A.3：内部組織 AIの開発・配備・運用各ライフサイクルフェーズにおける役割・責任の割り当てと、倫理的懸念時の報告ライン・エスカレーション手順の確立6。
• A.4：AIシステムのための資源 AIに必要なリソース（専門スキルを備えた人材、高品質な学習データ、動作に必要なGPUやクラウド等の計算資源）の計画的な管理6。
• A.5：AIシステムの影響評価 組織内部の財務やレピュテーションリスクのみならず、外部の個人や社会に対する倫理的影響（人権侵害、プライバシー、差別、雇用への影響等）の事前特定・記録プロセスの義務化12。
• A.6：AIシステムライフサイクル 企画、検証（PoC/PoT）、開発、テスト、本番配備、監視から、利用終了時のモデルおよび学習データの安全な消去・廃棄（A.6.8）に至るプロセス統制6。
• A.7：AIシステムのためのデータ 著作権や個人情報保護法に抵触しない適正な方法でデータを収集する（A.7.1）、アノテーション（ラベル付け）の適正管理（A.7.2）、バイアス検出と緩和、機密性確保、データの由来（データリネージ）の追跡可能性（A.7.6）27。
• A.8：利害関係者のための情報 ユーザーに対するAIシステム限界の明示、アルゴリズムの透明性・説明可能性の設計、インシデント発生時の明確な外部コミュニケーション手順の整備6。
• A.9：AIシステムの使用 目的外利用や、非倫理的な使用を防ぐための責任ある使用手順の定義、承認プロセスの確立9。
• A.10：第三者及び顧客との関係 外部ベンダーからAIモデルやサービスを調達、あるいは自社AIを提供する場合の契約要件、合意形成、およびサプライチェーン上の説明責任の定義9。

2.5. 事業継続マネジメントシステム（BCMS / ISO 22301:2019）

ISO 22301は、自然災害、インフラの長期的停止、地政学的危機、あるいはランサムウェア等の深刻なサイバー攻撃による重要業務の停止に対し、あらかじめ合意された制限時間内に業務を特定レベルで復旧させるための「事業継続マネジメントシステム」を確立する国際規格です9。
BCMSのカバレージは、単なるITシステムのバックアップ運用にとどまらず、全社的な危機管理、経営層のコマンド＆コントロール体制、インフラや人員の融通手段までを包括しており、以下の機能要件を含みます11。

• 事業影響度分析（BIA：Business Impact Analysis）： 各業務プロセスの停止がもたらす影響を時間軸で測定し、重要業務の特定、最大許容中断時間（MTPD）の算出、およびシステム復旧の指標となる目標復旧時間（RTO）と目標復旧時点（RPO）を定義する2。
• 事業継続計画（BCP）とITサービス継続計画（DRP）： インシデント発生時の初動、代替手段の稼働、および技術インフラを復旧させるIT災害復旧計画の策定16。
• 冗長性と復旧テストの実施： データの地理的冗長化、災害対策サイトの確保、および定期的なシミュレーションテストを通じた有効性の検証16。

2.6. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF 最新体系）

経済産業省が策定した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）」は、サプライチェーンが物理的接続とクラウド上の仮想的なシステム間連携によって相互依存する、Society 5.0特有の脅威モデルに対応するための指針です1。
CPSFのカバレージは、産業の付加価値創造プロセス（バリュークリエイションプロセス）を、セキュリティ確保のための信頼性の基点として規定された以下の「三層構造モデル」で捉えています4。

• 第1層（企業間のつながり）： サプライチェーンを構成する企業間のマネジメントの相互信頼性（組織ガバナンス）を担保するレイヤー2。
• 第2層（フィジカル空間とサイバー空間のつながり）： 物理環境の情報（センサーデータ等）が、要求される正確性に応じて適切な精度でサイバー空間に変換（転写）される機能（転写機能の信頼性）を担保するレイヤー4。
• 第3層（サイバー空間におけるつながり）： クラウドや異なるサービスプロバイダー間で流通・シミュレーションされるデータの真正性と整合性、および相互運用性（サイバー処理の信頼性）を担保するレイヤー2。

この3つの層に対し、バリュークリエイションを構成する6つの要素（ソシキ、ヒト、モノ、データ、プロシージャ、システム）をマッピングした上で、リスクマネジメントの手順（分析対象の明確化、事業被害レベルの設定、攻撃シナリオを考慮したリスク分析、対応の実施）を実行します1。
最新の体系方針では、国際規格との整合性を高めるべく、以下の構成要素が中核に据えられています16。

• ガバナンスおよび説明責任の徹底： 「Govern（統治）」機能をCPSFの中核に据え、経営層から現場の物理オペレーションに至るまでの階層横断的な管理・意思決定体制を構築する28。
• 適用範囲の拡大： 製造業や社会インフラにとどまらず、医療、自治体、流通などの多様な領域、さらに中小企業からサプライチェーン全体までを包摂する28。
• 新興リスクへの統合的対応： 安全性（Safety）、セキュリティ（Security）、プライバシー（Privacy）、レジリエンス（Resilience）、信頼性（Trustworthiness）の5つの重要観点をNIST SP 1500-201に基づいて体系化し、ライフサイクル全体で一体管理する28。

2.7. サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度）

経済産業省および内閣官房国家サイバー統括室が2026年3月に公表した「制度構築方針」に基づき、独立行政法人情報処理推進機構（IPA）が運営・提供する制度が「SCS評価制度」です13。本制度は、企業間取引の契約等において、委託元から委託先に対して求めるセキュリティ水準を共通の基準で可視化する任意の評価・確認制度です14。委託先企業（特にリソースの限られた中小企業等）の過度な回答負担を軽減し、サプライチェーンの脆弱性の解消とセキュリティ水準の底上げを図る「共通の物差し」として策定されました14。
評価対象は主に企業の「IT基盤」に焦点が当てられており、対策レベルに応じて段階（★）が定義されています14。

• ★1・★2： 既存の自己宣言制度である「SECURITY ACTION」をそのまま基礎的段階として本制度の枠組み内に位置づけたものです3。
• ★3（Basic）： 一般的なサイバー脅威に対処しうる水準33。自社IT基盤への初期侵入や侵害拡大への対策、インシデント発生時の社内外への報告・共有手順などをカバーする25の要求事項から構成され、専門家による「確認・署名付き自己評価」を行います32。
• ★4（Standard）： 標準的に目指すべきセキュリティ対策水準33。★3に加えて継続的な脆弱性管理、多層防御による被害拡大防止、サプライチェーン全体の強靭化対策を含む44の要求事項から構成され、指定の評価機関による「第三者評価・実地審査」および「技術検証」を実施します13。
• ★5（Advanced）： 高度なサイバー攻撃（APT等）に対処しうるベストプラクティスに基づくサイバーレジリエンス確保策（詳細基準は2026年度以降に策定）14。

2.7.1. 「情報セキュリティ管理基準」との評価対応マッピング

SCS評価制度の基準は、網羅的な「情報セキュリティ管理基準」の全管理策のうち、「IT基盤の保護」「取引先管理（サプライチェーン）」「インシデント初期対応・復旧」に直結する以下の主要項目群（評価基準25〜44項目）を抽出し、評価を行うものと明確に位置づけられています3。

1. ガバナンスおよび取引先管理領域（評価領域：ガバナンス整備、取引先管理、リスク特定）：
   • 管理基準「第3章 ガバナンス基準」「第4章 マネジメント基準 4.5.3 組織の役割、責任及び権限」におけるガバナンス体制と責任の定義18。
   • 組織的管理策「5.19〜5.22 供給者（委託先等）関係における情報セキュリティ」における契約および監視38。
   • 人的管理策「6.3 情報セキュリティの意識向上、教育及び訓練」における要員向けセキュリティ意識教育19。
2. IT基盤・技術的防御領域（評価領域：システムの防御、攻撃等の検知、リスク特定）：
   • 技術的管理策「8.1 利用者のエンドポイントデバイス」におけるマルウェア対策、および「8.8 技術的脆弱性の管理」によるリスクの特定9。
   • 技術的管理策「8.15〜8.18 アクセス制御・認証」、および「8.20〜8.22 ネットワークセキュリティ（セグメンテーションによるIT/OT分離等）」11。
   • 技術的管理策「8.16 セキュリティの監視」および物理的管理策「7.1〜7.4 物理的セキュリティ境界、進入管理」によるIT資産設置エリアの保護・監視11。
3. インシデント対応および復旧領域（評価領域：インシデントへの対応と復旧）：
   • 組織的管理策「5.24〜5.28 情報セキュリティインシデント管理」における連絡ルートの確保と、取引先を含む社内外関係各所への速やかなインシデント報告体制の構築34。
   • 技術的管理策「8.13 情報のバックアップ」を用いた、侵害からのシステム及びデータの復旧能力の検証37。

3. 主要フレームワークのカバレージ比較

これら7つのフレームワークについて、その主たる統治対象、管理レイヤー、および管理する脅威の特徴を横並びで整理します。

フレームワーク	主たる統治対象・ドメイン	マネジメントの特性	管理する主な脅威・対象
情報セキュリティ管理基準	国内組織のITシステム全般およびISMAP監査対象9	取締役会（ガバナンス）と経営者（マネジメント）の責任の明確な分離、モニタリング統制20	サイバー攻撃、不審なクラウド利用、非本番環境での内部情報漏洩、物理侵入16
ISO/IEC 27001 / 27002	グローバル市場向けの組織全般の情報セキュリティ（ISMS）5	リスクマネジメントに基づくコントロール（93管理策）の最適配備と継続的改善（PDCA）3	システムの論理的・物理的侵入、情報資産の改ざん、クラウド設定、環境要因3
NIST CSF 2.0	組織全体のサイバーリスク（IT・OTの全領域およびC-SCRM）26	成果（Outcome）基準。経営陣の監視、実装例を活用した適用8	サプライチェーンの脆弱性、OTシステムへの不正侵入、ログイン攻撃、暗号漏洩9
AIマネジメントシステム (ISO/IEC 42001)	AI開発、提供、またはAIサービスを利用・導入する組織6	AIライフサイクル全般における影響度、データバイアス、説明可能性、および倫理ガバナンス6	モデルポイズニング、アルゴリズム差別、著作権法的不整合、データ lineage の崩壊、目的外使用9
BCMS (ISO 22301)	大規模インシデント、自然災害、その他の全社的事業中断事象16	事業影響度分析（BIA）に基づく最大許容時間の算出、代替リソース管理、および危機命令系統16	ランサムウェアによる全システム暗号化、データセンター物理被災、地政学的供給網停止16
CPSF	物理空間（フィジカル）と仮想空間（サイバー）が融合した産業システム1	三層構造モデル（組織・転写・データ連携）と、6つの構成要素に応じたリスク管理16	デバイスを介した偽データの注入、転写センサーの障害、サプライチェーンを介した物理制御侵害16
SCS評価制度	国内サプライチェーンにおける取引関係企業全般、IT基盤31	各自の立ち位置（★1〜★5）に基づく共通の可視化と確認、専門家/第三者評価14	サプライチェーン（委託先等）を標的とした攻撃、初期侵入、被害拡大10

4. フレームワーク間の相関関係と多層的マッピング

4.1. 各レイヤーにおけるフレームワークの協調構造

これらのフレームワークは、相互に単独で存在するものではなく、企業の包括的なガバナンス体系において、階層的かつ有機的な連携モデルを形成します9。

【※】以下は、各レイヤーが包含する主要基準の連動と位置付けを視覚化したMermaidダイアグラムです。【後日画像化したものと置き換えます。】

graph TD
    classDef gov fill:#ffe5ec,stroke:#ffb3c6,stroke-width:2px;
    classDef mng fill:#e2ece9,stroke:#9cd0c2,stroke-width:2px;
    classDef spec fill:#e8dbfc,stroke:#be9dfc,stroke-width:2px;
    classDef impl fill:#fdf0d5,stroke:#fbc490,stroke-width:2px;
    subgraph L1 ["1 ガバナンス＆戦略意思決定レイヤー"]
        A[NIST CSF 2.0 'Govern']:::gov
        B[情報セキュリティ管理基準 ガバナンス目的]:::gov
        C[CPSF 最新体系 'Govern']:::gov
    end
    subgraph L2 ["2 組織的マネジメントシステム＆サプライチェーン管理レイヤー"]
        D["ISO/IEC 27001 / ISMS"]:::mng
        E[ISO 22301 / BCMS]:::mng
        F[SCS評価制度 ★3〜★5]:::mng
    end
    subgraph L3_A ["3 ドメイン特化AIレイヤー"]
        G[ISO/IEC 42001 / AIMS]:::spec
    end
    subgraph L3_B ["4 フィジカル・サイバー融合レイヤー"]
        H[CPSF 三層構造モデル]:::spec
    end
    subgraph L4 ["5 現場実装・共通コントロールレイヤー"]
        I[ISO/IEC 27002 / 経産省管理策基準]:::impl
        J[NIST CSF 2.0 実装例 / SCS技術要件]:::impl
    end
    L1 -->|ガバナンス方針の伝達 / 契約要件設定| L2
    L2 -->|データ保護要求・共通プロセス伝達| L3_A
    L2 -->|物理・論理インターフェース転写要件| L3_B
    L3_A -->|具体的コントロール適用| L4
    L3_B -->|具体的コントロール適用| L4

各レイヤーにおけるフレームワークおよびコントロールの役割・位置付けは以下の通りです。

• 1. ガバナンス＆戦略意思決定レイヤー: 経営陣による「サイバー・物理・AI・調達」リスクの財務・事業影響の評価、投資配分および説明責任の確立。NIST CSF 2.0の「Govern」26、情報セキュリティ管理基準のガバナンス目的16、CPSF最新体系の「Govern」22が該当します。
• 2. 組織的マネジメントシステム＆サプライチェーン管理レイヤー: 方針を業務プロセスへと統合し、PDCAサイクルによる継続的改善、取引先セキュリティ確認の仕組みを確立。ISO/IEC 27001（ISMS）6、ISO 22301（BCMS）16、およびSCS評価制度（★3〜★5）3が連動します。
• 3. ドメイン特化AIレイヤー: AI固有の決定の不確実性と倫理的影響の管理。ISO/IEC 42001（AIMS）における「AI影響評価（倫理・人権）」9、「データリネージ、バイアス制御」9、「説明可能性および透明性」7を管理します。
• 4. フィジカル・サイバー融合レイヤー: センサーからエッジ・クラウドに跨る連携信頼。CPSFにおける第1層（組織相互の信頼担保）7、第2層（転写プロセスの正確性担保）39、第3層（サイバー相互運用性の担保）2から構成されます。
• 5. 現場実装・共通コントロールレイヤー: 物理・技術・人の各ドメインに配備される、実効性のあるセキュリティ技術および手順の実装。ISO/IEC 27002/経産省管理策基準（脅威インテリジェンス、仮名化、物理監視）3、NIST CSF 2.0 実装例11、およびSCS評価基準（★3/★4の実装要件）37が具体的に適用されます。

4.2. フレームワーク間の具体的な連動メカニズム

4.2.1. データセキュリティとAIモデル信頼性の因果関係（ISMS × AIMS）

AIMS（ISO/IEC 42001）において、学習用データの品質や機密性を確保するための「A.7：データのライフサイクル」を実践する際、具体的なデータの保護技術（アクセス制御、暗号化、マスキング等）は、ISMS（ISO/IEC 27001 / ISO/IEC 27002）および情報セキュリティ管理基準に定義されている技術的管理策に依存します3。
例えば、AIMSの「A.7.5：データの機密性」を実装するためには、情報セキュリティ管理基準やISO/IEC 27002の技術的管理策に準拠した「非本番環境における機密データ保護規程」を策定し、データマスキング（仮名化、匿名化、トークン化技術）をパイプラインに埋め込むことが因果的に必要となります9。ISMSがインフラとしての「データの漏洩防止」を保証することで初めて、AIMSにおける「バイアスの検知とモデル学習の妥当性」という AI特有のリスク統制が成立します6。

4.2.2. サプライチェーンの統合統治と取引先評価（NIST CSF 2.0 × CPSF × ISO/IEC 27001 × SCS評価制度）

NIST CSF 2.0の「Govern（C-SCRM）」で求められる外部調達・委託先の評価は、CPSFの「第1層（企業間のつながり）」における相互信頼の合意プロセス、およびISO/IEC 27001の「要求事項 8.1（外部提供のプロセス、製品、サービス管理）」における具体的管理要請と直結しています2。
従来、これらの要請を満たすために、発注企業ごとに不揃いなセキュリティチェックリスト（Excelシート等）が個別に送付され、委託先企業の負担増加と、形骸化した自己申告という課題が生じていました31。
最新の「SCS評価制度」はこの課題を解消し、フレームワーク間の実装を円滑に連動させる架け橋となります17。発注側企業が取引先（委託先）に対して、自社が採用する情報セキュリティ管理基準やISO/IEC 27001（要求事項8.1）に即した評価基準として「SCS評価制度の星（★3・★4等）」をマッピングして取引要件に設定します31。これにより、発注側は「情報セキュリティ管理基準」の取引先管理（管理策5.19〜5.22）および「NIST CSF 2.0」のC-SCRM要件を、独自チェックリストを用いることなく一元的に充足・監査できるようになります13。同時に受注側は、一度適合評価（自己評価＋専門家署名、または第三者評価・技術検証）を取得すれば、任意の取引先に対して自社のセキュリティレベルを共通の基準で証明できるようになり、調達プロセスの信頼性と事務効率が飛躍的に向上します3。

4.2.3. サイバー・フィジカル融合環境での防御の深層化（CPSF × NIST CSF 2.0 [OT]）

CPSFの「第2層（物理・サイバー空間のつながり）」における転写機能の正確性、および「第3層（サイバー空間のつながり）」におけるデータの信頼性を保証するためには、物理デバイスの侵害を検知し、伝播を防ぐための境界防御が必要です12。
ここで、NIST CSF 2.0が示すOTプロファイル、特に「IT-OT間のファイアウォール/DMZによるネットワークセグメンテーション」や「インターネットへの不必要な露出の禁止」といった技術実装例が直接機能します2。物理センサーから送信されるデータそのものの「真正性」を保証するCPSFのモデルに対し、NIST CSFのOT制御群が「伝送路および送信元の論理的安全性」を補強することで、両者が相互に高め合う強固な境界制御が実現します2。

4.2.4. 可用性からレジリエンスへのシームレスな移行（ISO 22301 × 情報セキュリティ管理基準）

ランサムウェアによる全社的暗号化やクラウド基盤の喪失といった重要資産の喪失シナリオにおいて、ISMSの「可用性」管理と、BCMS（ISO 22301）の「事業継続」管理は、以下の算式に基づいて連携されます。

BIA（事業影響度分析）で算出されたビジネス復旧の臨界値（, ）を受け、情報セキュリティ管理基準およびISO/IEC 27002に沿って、IT災害復旧計画（DRP）が策定され、ディザスタリカバリサイトのコールド/ウォーム/ホット等の冗長構成やバックアップ・リストアソリューションが配備されます16。そして、計画の有効性は、定期的な復旧テストやシミュレーション（訓練）を通じて検証され、その結果がマネジメントシステムへとフィードバックされることで、事業停止時間を最小化する組織レジリエンスが確保されます16。

5. 統合管理における実務的対応と先進的インサイト

5.1. 「機能安全（Safety）」と「サイバーセキュリティ（Security）」の収斂

従来のサイバー防御は「情報の機密性」の保護を起点としていましたが、Society 5.0や自動運転、スマート製造業に代表されるサイバー・フィジカル社会では、サイバー空間への攻撃がフィジカル空間における「人間の生命や物理プラントの安全性（機能安全：Safety）」を脅かす直接的なトリガーとなります1。
最新のCPSF体系が、NIST SP 1500-201のフレームに依拠し、安全性（Safety）とセキュリティ（Security）を同一のリスクガバナンス下で管理する方向性を示しているのは、このリスクの不可分性を証明しています28。組織は、情報セキュリティ委員会と物理工場の安全・設備管理部門の体制（サイロ）を取り払い、リスク管理手順におけるセキュリティ脅威シナリオの中に、物理的な「ハザード（安全阻害要因）」の発生シミュレーションを強制的に統合する仕組みを構築する必要があります1。

5.2. 人工知能（AI）をめぐる「信頼のデータリネージ」の確立

AIMS（ISO/IEC 42001）が「データの出所管理（データリネージ：A.7.6）」や「バイアスの検出（A.7.4）」を極めて重視している点は、今後のセキュリティにおけるデータガバナンスの覇権を示唆しています27。学習用データの作成プロセス（アノテーション：A.7.2）やデータの適正取得（A.7.1）に脆弱性が存在すれば、どれほど強力な暗号技術やアクセス制御を施したAIであっても、出力されるモデル自体の信頼性が崩壊します9。
したがって、実務面では、情報セキュリティ管理基準における「セキュアコーディング規約（8.28）」や「データマスキング（仮名化）」を、単なる静的プログラム開発の枠組みから、機械学習パイプライン全体の「インプットデータの完全性保証」へと適用を拡張することが要求されます6。

5.3. クラウドネイティブ前提への移行と詳細統制のスリム化

ISO/IEC 27001の「要求事項 8.1」の表現、およびクラウド管理策（5.23）の存在は、システム開発や情報運用の主導権がすでに「自社管轄のオンプレミス環境」から「サードパーティのクラウドプラットフォーム」へと完全に移行した現実を示しています3。自社内の詳細な手順規定を無数に作成・維持することはもはや形骸化を招くだけであり、ISMAPの最新改定にみられるような、詳細管理策の整理とクラウド固有統制（5分類への整理）へのスマート化は極めて合理的です9。
組織は、コントロール自体を自社で所有・運用することに注力するのではなく、ベンダー評価、契約上のセキュリティ義務、暗号鍵の自社管理、およびCSPM（Cloud Security Posture Management）を活用した「設定状態の監視・能動的把握（脅威インテリジェンスの連携）」へとリソースを再配分するべきです3。

5.4. SCS評価制度への対応とセキュリティ投資の「取引価値」への変換

2026年度末より本格運用が開始されるSCS評価制度は、セキュリティに対する組織の投資姿勢を「コスト・保険」から「競争優位を築くための取引価値」へと変革する契機となります10。
受注側企業（中小企業等含む）は、情報セキュリティ管理基準のうちIT基盤の防御・インシデント対応に直結する項目に焦点を絞って対策を高度化し、本制度に基づく適合マーク（★3や★4）を取得・公開することで、強固な対策体制を客観的に市場へ宣誓できます13。これにより、取引先との個別チェックシートへの回答工数を劇的に削減すると同時に、サプライチェーンに参入する際の決定的な営業上の差別化要因とすることが可能です23。発注側にとっても、サプライヤーの監査リソースを削減しつつ実効性のある統治を遂行でき、中小企業においては、国が創設する「サイバーセキュリティお助け隊サービス（新類型）」を始めとする支援策を利用して安価かつ効率的に適合水準に到達するアプローチが推奨されます13。

6. 結論

産業社会の融合とAIの普及は、組織に未知の恩恵をもたらす一方で、複雑極まりないセキュリティリスクの波及をもたらしています1。最新の「情報セキュリティ管理基準（令和7年経済産業省告示第124号）」および「ISO/IEC 27001/27002」をコンプライアンス基盤として整備しつつ3、「NIST CSF 2.0」のGovern機能によって全社的なサプライチェーンリスク（C-SCRM）を統治し2、「CPSF」の三層構造によってサイバーとフィジカルの安全・機能連携を保証します12。
さらに、自律的なシステムをめぐっては「ISO/IEC 42001」によって倫理的かつ信頼性のあるAI運用を実現し12、「ISO 22301（BCMS）」によって事業継続性のシミュレーションと災害テストを駆動させます16。そして、これらのマネジメントプロセスと実装結果を取引相手に対して客観起伏を伴って示す「共通の物差し」として「SCS評価制度（★3・★4等）」を適正に組み込むことで、組織内外を包含した一貫性のあるセキュリティ統治が完成します3。
これら多層的なフレームワークを一つの「協調型セキュリティシステム」として有機的に連動させることこそ、グローバルな信頼を担保し、ビジネスの能動的な価値創出（レジリエンス）を実現するための絶対的な戦略的要諦です16。

引用文献

1. サイバー・フィジカル・セキュリティ対策フレームワーク - ニュートン・コンサルティング, https://www.newton-consulting.co.jp/itilnavi/guideline/cpsf.html
2. 「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）改訂に関する調査支援等業 - IPA, https://www.ipa.go.jp/choutatsu/nyusatsu/2025/rcu1hd0000006uyc-att/nyusatsu20260311-01.pdf
3. 【2026最新】ISO27001改訂内容を徹底解説！最新の追補対応は？ - ISOプロ, https://activation-service.jp/iso/column/7146
4. 経済産業省のSociety5.0における セキュリティ対策の取組, https://www.jama.or.jp/operation/it/event/jdf2020/report/pdf/jdf2020_pm_A_01.pdf
5. NIST サイバーセキュリティフレームワーク 2.0を解説｜約10年ぶりの大幅改訂、押さえるべき要点とは？ - NRIセキュア, https://www.nri-secure.co.jp/blog/nist-cybersecurity-framework-2.0
6. ISO 42001 認証取得支援/AIマネジメントシステムの構築・高度化支援サービス - PwC, https://www.pwc.com/jp/ja/services/consulting/analytics/responsible-ai/iso42001.html
7. 責任あるAIを実現する上でISO 42001が果たす役割とは | EY Japan, https://www.ey.com/ja_jp/insights/ai/iso-42001-paving-the-way-for-ethical-ai
8. NISTサイバーセキュリティフレームワーク2.0の主な更新点について解説 | TXOne Networks, https://www.txone.com/ja/blog-ja/exploring-key-updates-nist-csf-2-0-manufacturing/
9. 【詳細解説】情報セキュリティ管理基準改訂（2025年）の詳細分析とISMSに基づくセキュリティポリシー作成での活用ガイド, https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/650/index.html
10. 経済産業省サプライチェーン強化に向けたセキュリティ 対策評価制度（SCS評価制度）とは？スケジュールや準備することを解説 | 富士フイルムビジネスイノベーション - Fujifilm, https://www.fujifilm.com/fb/ja/solutions/columns/it-security-13266
11. サイバー・フィジカル・セキュリティ対策フレームワーク - 経済産業省, https://www.meti.go.jp/policy/netsecurity/wg1/cpsf.html
12. 情シス必見！ISO 42001 認証取得の5ステップと費用・ISMS統合アプローチ, https://admina.moneyforward.com/jp/blog/iso-42001-certification-checklist
13. SCS評価制度の詳細情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構, https://www.ipa.go.jp/security/scs/details.html
14. サプライチェーン対策の基礎知識と実践ガイド！経産省「サプライチェーン強化に向けたセキュリティ対策評価制度」とは？ - ハンモック, https://www.hammock.jp/assetview/media/supply-chain-security-meti-evaluation-framework.html
15. 情報セキュリティ管理基準 | JASA (Japan Information Security Audit Association), https://jasa.jp/audit/about/about03/
16. システム管理基準（令和５年、２０２３年）, https://www.kogures.com/hitoshi/webtext/std-system-kanri-2023/index.html
17. ISMAPの新たな展開 ～ISMAP管理基準の全般的な改定とISMAPの今後の見通しについて - PwC, https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/explanation-of-ismap2.html
18. ISMAP 管理基準 令和２年６月３日 （令和６年８月１日最終改定）, https://www.ismap.go.jp/csm/sys_attachment.do?sys_id=357e3e2ac3755250076ededb050131ed
19. 情報セキュリティ管理基準 （令和７年改正版）, https://www.meti.go.jp/policy/netsecurity/is-kansa/IS_Management_Standard_R7.pdf
20. ISO/IEC27001:2022 ～旧版との違いと企業に求められる対応 - ニュートン・コンサルティング, https://www.newton-consulting.co.jp/itilnavi/guideline/iso27001.html
21. ISO/IEC 27001 改定内容と 関連規格の動向 - JNSA, https://www.jnsa.org/seminar/2022/isms2022/kouen1.pdf
22. 「ISO/IEC 27001：2022」の 改訂概要と必要となる対応について, https://idealroute.jp/insight/governance/content.html
23. AI時代の品質マネジメントを考える：ISO 42001とISO 9001の統合がもたらす新たな価値, https://www.bureauveritas.jp/magazine/260602/cer
24. 【詳細解説】AIガバナンスのためのISO/IEC 42001の附属書A, B, C, Dの分析, https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/657/index.html
25. 【解説】ISO/IEC 42001の管理目標と管理策の概要, https://www.cybersecurity.metro.tokyo.lg.jp/links/687/index.html
26. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）とは - IT用語辞典 e-Words, https://e-words.jp/w/%E3%82%B5%E3%82%A4%E3%83%90%E3%83%BC%E3%83%BB%E3%83%95%E3%82%A3%E3%82%B8%E3%82%AB%E3%83%AB%E3%83%BB%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E5%AF%BE%E7%AD%96%E3%83%95%E3%83%AC%E3%83%BC%E3%83%A0%E3%83%AF%E3%83%BC%E3%82%AF.html
27. 「NIST CSF 2.0」改訂で変わるセキュリティ実務 約10年ぶり刷新の5ポイントとは？, https://go.orixrentec.jp/rentecinsight/it/article-747
28. ISO/IEC 42001の役割を理解するための包括ガイド - PECB, https://growth.pecb.com/jp-articles/iso-iec-42001%E3%81%AE%E5%BD%B9%E5%89%B2%E3%82%92%E7%90%86%E8%A7%A3%E3%81%99%E3%82%8B%E3%81%9F%E3%82%81%E3%81%AE%E5%8C%85%E6%8B%AC%E3%82%AC%E3%82%A4%E3%83%89/
29. サイバー・フィジカル・ セキュリティ対策の実装と保証 - システム監査学会, https://www.sysaudit.gr.jp/gakkaishi/ronbun/202006/article_narita.pdf
30. 産業分野におけるサイバーセキュリティ政策, https://www.cyber.go.jp/pdf/council/cs/kenkyu/dai13/13shiryou05.pdf
31. サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度） - IPA, https://www.ipa.go.jp/security/scs/index.html
32. サプライチェーン強化に向けたセキュリティ対策評価制度（SCS評価制度） - 経済産業省, https://www.meti.go.jp/policy/netsecurity/scs.html
33. SCS評価制度とは？ 制度の概要や創設の背景、今からできる準備を解説 - SKYSEA Client View, https://www.skyseaclientview.net/media/article/4823/
34. 2026年度末開始のセキュリティ対策（SCS）評価制度。事前に取り組める「SECURITY ACTION宣言」とは？ - キヤノン, https://canon.jp/biz/trend/securityaction
35. 【詳細解説】2026年度METI・IPAにおけるサプライチェーン強化等に向けた制度体系の網羅的分析, https://www.cybersecurity.metro.tokyo.lg.jp/links/736/index.html
36. ISO 42001 - AIマネジメントシステム - その可能性を最大限に活用 | BSI, https://www.bsigroup.com/ja-JP/products-and-services/standards/iso-42001-ai-management-system/
37. AI活用とセキュリティガバナンスのための統合規格マネジメント：ISO/IEC 27001, 27002 & 42001 詳細分析レポート, https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/656/index.html
38. 「SCS評価制度（セキュリティ対策評価制度）」とは？全体像や2026年度末の運用開始に向けて取り組むべき対策を解説 - wiz LANSCOPE ブログ, https://www.lanscope.jp/blogs/cyber_attack_pfs_blog/20250325_25987/
39. NIST CSF2.0（NIST サイバーセキュリティフレームワーク）とは？概要・メリット・導入方法を解説, https://www.txone.com/ja/blog-ja/what-is-nist-csf2-manufacturing/
40. SCS評価制度とは？ 業種別ガイドラインやISMS、NISTとの関係性を整理する, https://www.exgen.co.jp/column/ent-019.html