2023.7.18

セキュリティ関連知識の保管庫（ナレッジベース2023）【インデックス】

位置づけ

• ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の続編のために要約した次世代IT技術、サイバーセキュリティ対策関連の知識の保管庫（ナレッジベース）です。
• 国際標準、NISC,METI,IPA等の政府関連機関が提供するフレームワーク・ガイドライン等の最新版をベースとして、実践的な情報への道しるべとなる情報を提供します。
  • 目次.1.サイバーセキュリティを取り巻く背景
  • 目次.2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】
  • 目次.3.これからの企業経営で必要な観点【社会の動向】
  • 目次.4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】
  • 目次.5.網羅的なセキュリティ対策を知る【フレームワーク】
  • 目次.6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】
  • 目次.7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】
  • 目次.8.全体総括
  • Annex.別添資料（関連資料・文献等の紹介）
  • Appendix.追補資料（最新動向等）
• 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.1.サイバーセキュリティを取り巻く背景　⇒詳細は【本編01】

• （目的：クラウドワークロードの複雑化、サプライチェーンの脆弱性、IoT、DX等、新しいテクノロジーへのセキュリティ対策が求められている状況を解説し、Society5.0等で示されている社会の方向性と実現に向けた基本概念、その環境下で中小企業に求められる考え方を提示する）

1.1 目標とする対策のレベルを想定

• （クイックアプローチ・ベースラインアプローチ・網羅的アプローチ）

1.2 【事例を知る】重大なインシデント発生から課題解決まで

• （要旨・キーワード等：最近の攻撃トレンドを踏まえ、中小企業にも発生しうるサイバー攻撃・被害をケーススタディとして掲載）

1.3 【社会の動きを知る】社会の現状と今後の動向

• （要旨・キーワード等：Society5.0、Cybersecurity for All、DX with Security、プラス・セキュリティ、デジタルリテラシー　等）
• DX時代に対応が求められるIT環境
  • （要旨・キーワード等：IoT、ビッグデータ、ロボット、AI、5G　等）
• DX時代に不可欠な人材の確保
  • （要旨・キーワード等：DX with Securityで必要な人材の役割とスキル　等）

目次.2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】⇒詳細は【本編02】

• （目的：向上支援事業にて到達すると想定されるレベル（Security Action二つ星宣言）の基礎知識を振り返る）

サイバーセキュリティに関する基礎知識

• （要旨・キーワード等：各種試験シラバス（ITパスポート、基本情報処理技術者、情報セキュリティマネジメント）等より基礎知識を掲載）

Security Action（IPA）

• （要旨・キーワード等：情報セキュリティ5か条、情報セキュリティ基本方針、情報セキュリティ自社診断　等）

目次.3.これからの企業経営で必要な観点【社会の動向】⇒詳細は【本編03】

• （目的：企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する）

現実社会とサイバー空間の繋がり

• （要旨・キーワード等：サプライチェーンを構成する企業と企業が、フィジカル空間とサイバー空間で繋がっていることを掲載）

守りのIT活用

• （要旨・キーワード等：社内業務の効率性・生産性向上や働き方の変革　（デジタルオプティマイゼーション）等）

攻めのIT活用

• （要旨・キーワード等：ビジネスの発展や売上・企業価値の向上　（デジタルトランスフォーメーション）等）

経営投資としてのサイバーセキュリティ対策

• （要旨・キーワード等：DX白書（IPA）等より経営投資としてのサイバーセキュリティ対策の必要性を掲載）

目次.4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】⇒詳細は【本編04】

• （目的：社会全体におけるサイバーセキュリティの現状を解説する）

国の方針・施策

• （要旨・キーワード等：経済財政運営と改革の基本方針、サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ2022、情報セキュリティ白書）

脅威

• （要旨・キーワード等：情報セキュリティ10大脅威、サイバー攻撃・犯罪の情勢）

法令遵守

• （要旨・キーワード等：関係法令Q&Aハンドブック（NISC）等より法令遵守に関する事項を掲載、GDPR、個人情報保護）

目次.5.網羅的なセキュリティ対策を知る【フレームワーク】⇒詳細は【本編05】

• （目的：業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する）

網羅的な対策のフレームワーク

• （要旨・キーワード等：ISO/IEC27001:2022、ISO/IEC27002:2022が示すマネジメント基準・管理策基準、5つの属性とその中身）
• （要旨・キーワード等：政府機関、重要インフラとの連携において、NIST文書（SP800シリーズ、CSF（重要インフラのサイバーセキュリティを改善するフレームワーク））等を補足）

5.0 ITシステム管理・監査関連のフレームワーク

5.1 情報セキュリティマネジメントシステム（ISMS）

5.2 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

5.3 セキュリティ関連NIST文書

5.4 サイバーセキュリティ経営の基本的な姿勢

• （要旨・キーワード等：経営者が認識すべき３原則、サイバーセキュリティ経営の重要10項目）

目次.6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】⇒詳細は【本編06】

• （目的：網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策（対策基準レベル）の概要を解説する。）

対策基準の策定目標

• （要旨・キーワード等：組織の規模、状況を想定して、①インシデント事例に対応したレベル、②IPA「中小企業の情報セキュリティガイドライン」等のサンプル、ひな形をベースとしたレベル、③ISMSに準拠した対策等にレベルを分けて掲載）

情報セキュリティの三大要素（CIA）

• （要旨・キーワード等：機密性・完全性・可用性）

リスク評価

• （要旨・キーワード等：組織に関連する脅威、脆弱性、情報の重要度）

対策基準に記載されるべき各管理策

• （要旨・キーワード等：フレームワーク等に記載された組織的対策、人的対策、物理的対策、技術的対策から、中小企業のレベルに応じて必要十分な管理策の項目とポイントを掲載）

6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】

6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

目次.7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】⇒詳細は【本編07】

• （目的：中小企業が策定した対策基準に基づいて具体的に実施する内容、手順（実施手順レベル）を解説する。対策基準に記載された対策の具体的な実施のためにドキュメント化（仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等）して、順次実施すべき事項をひな形等で解説する。）

7.1 実施手順としての作成ドキュメントおよび作成手順

• （要旨・キーワード等：作成するドキュメントの種類を提示（必要に応じて、組織内の所掌等に応じて分冊になることも想定））

• 7.1.1 作成すべきドキュメント（共通及び職種等別）

自社の現状にあった対策レベルの想定

• 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】
• 【LV.2】 【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】
• 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順

• （要旨・キーワード等：守るべき情報資産、情報資産への脅威（攻撃）、現状の脆弱性、AsIsのリスク分析、ToBeの設定）

7.3 組織的対策

• （要旨・キーワード等：脅威インテリジェンス、情報資産台帳、IT-BCP、インシデント対応マニュアル、知的財産、プライバシー、セキュリティ対策状況の点検）

7.4 人的対策

• （要旨・キーワード等：雇用契約書、懲戒手続き、雇用の終了の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティ イベントの報告手順書等の作成。人材育成・人材確保：IT及びデジタル人材に必要となるスキル（ITSS+、Di-Lite（デジタルリテラシー領域）、プラス・セキュリティ等）、チェンジマインド、リスキリングのための実施計画及び教育・研修、スキル認定の実施内容）
• 7.4.2 IT及びデジタル人材の確保
• 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準（DSS）】
  • (※DX推進における人材の重要性を踏まえ、個人の学習や企業の人材確保・育成の指針（2022年12月21日に公開された「デジタルスキル標準（DSS）」を中心に））
  • DXリテラシー標準（DSS-L）
  • DX推進スキル標準（DSS-P）
• 7.4.4 人材育成・人材確保のための各種スキル標準
  • (※DXへの対応、セキュリティ対策に必要な知識、スキルを効率的に習得するため各種スキル標準)

7.5 技術的対策

• （要旨・キーワード等：境界防御モデル、ZTA（Zero Trust Architecture）、SDP（Software Defined Perimeter）、SASE（Secure Access Service Edge）等のセキュリティフレームワークで示される機能の実装：共同責任モデル（オンプレミス、クラウド）、対象領域（ユーザ・データ・アプリケーション・OS・サーバ・ネットワーク・ストレージ）、ネットワーク制御（VPN,SD-WAN）、セキュリティ統制（ネットワーク、デバイス、アイデンティ、ユーザ認証（FIDO等）、データ、可視化・分析、自動化等））
• （要旨・キーワード等：Security by Design、DevSecOps、開発・運用の委託契約、IT部門と事業部門の連携による顧客課題の解決、システム構築・運用マニュアル、インシデント対応マニュアル（防御・検知・対応・復旧））
• ～ゼロトラスト、ZTA、SASEのフレームワーク
• ～IT環境構築・運用実施手順
• ～インシデント対応マニュアル
• ～情報システム関連仕様書・契約書

7.6 物理的対策

• （要旨・キーワード等：物理的なセキュリティ境界、脅威からの保護、監視（入退室認証システム、BYOD、MDM）、オフプレミスの資産のセキュリティ、機器のメンテナンス、IT機器廃棄手順等）

7.7 セキュリティ対策状況の有効性評価

• （要旨・キーワード等：内部点検、外部監査、（第三者認証）の実施、継続的改善）

目次.8.全体総括⇒詳細は【本編08】

• （目的：テキスト全体のポイントを振り返り、知識を定着させる。また、セキュリティ人材として自走するために必要な考え方等を提示する。）

目次.Annex ⇒詳細は【本編Annex】別添資料（関連資料・文献等の紹介）

Annex-1 関係法規、各種規程、フレームワーク等の紹介

Annex-2 用語解説

Annex-3 参考すべき資料・文献リスト

追補資料（Appendix）⇒【追補資料（最新動向等）（Appendix）】

「ナレッジベース」で参照している主な資料・文献名（発行元別）

2023.7.18

発行元	資料・文献名
東京都	中小企業向けサイバーセキュリティ対策の極意（冊子及びサイトでの追補ページ）, セキュリティ関連知識の保管庫（ナレッジベース）
内閣サイバーセキュリティセンター（NISC）	サイバーセキュリティ基本法, サイバーセキュリティ戦略 , サイバーセキュリティ2022, 関係法令Q&Aハンドブック, インターネットの安全・安心ハンドブック Ver.5.00, 内閣サイバーセキュリティセンター重要インフラグループ関係規程集
内閣府	経済財政運営と改革の基本方針, デジタル社会形成基本法, Society5.0, サイバ―フィジカルセキュリティ対策検討ガイドブック, 知的財産推進計画2023
デジタル庁	デジタル・ガバメント実行計画, 政府情報システムにおけるゼロトラストの運用の取り組み
総務省	情報通信白書 , DX時代における企業のプライバシーガバナンスガイドブック , 中小企業等担当者向けテレワークセキュリティの手引き , サイバー攻撃被害に係る情報の共有・公表ガイダンス
文部科学省	科学技術・イノベーション白書
経済産業省	サイバーセキュリティ経営ガイドライン（Ver3.0）, 情報セキュリティ管理基準及びシステム管理基準（案） , CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク, 産業界におけるデジタルトランスフォーメーションの推進, デジタル産業の創出に受けた研究会の報告書『DXレポート2.1（DXレポート追補版）』, ASM（Attack Surface Management）導入ガイダンス
独立行政法人 情報処理推進機構（IPA）	DX白書2023 , AI白書2023(各出版社より), 情報セキュリティ白書2023 , 中小企業の情報セキュリティ対策ガイドライン（第3.1版）, 情報セキュリティ10大脅威2023 , 情報処理技術者試験シラバス , 改正民法に対応した「情報システム・モデル取引・契約書」 , デジタルスキル標準（DXリテラシー標準, DX推進スキル標準） , iコンピテンシディクショナリ（iCD）, セキュリティ関連費用の可視化 , サイバーセキュリティ経営可視化ツール 構築・運ECサイト用セキュリティガイドライン
個人情報保護委員会	GDPR（一般データ保護規則）関連資料 , 法令・ガイドライン等 お役立ちツール（※中小企業向け）
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）	インシデントハンドリングマニュアル , CSIRT⼈材の育成
日本情報経済社会推進協会（JIPDEC）	ISMS適合性評価制度関連資料 , 改正個人情報保護法の実務対応ポイント
ISO規格, JIS規格	ISMS(ISO/IEC27001,27002:2022, JISQ27001,27002)
米国国立標準技術研究所（NIST）	セキュリティ関連NIST文書

備考

改版履歴

2023.7.18

• 2023年7月18日 関係機関が発行する資料の2023年度版を追記
• 2023年5月8日 「ナレッジベース」で参照している主な資料・文献名（発行元別）更新
• 2023年3月27日 サイバーセキュリティ経営ガイドライン Ver3.0【2023年3月24日】の要約更新
• 2023年3月14日 「ナレッジベース2023」として、トップページ、インデックス本編1～8、Annexに分割
• 2023年3月10日 『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5（EPUBリフロー版）として公開
• 2023年3月10日 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」追記
• 2023年2月27日 DX白書2023、「インターネットの安全・安心ハンドブック Ver.5.00」追記
• 2023年2月7日 「内閣サイバーセキュリティセンター重要インフラグループ関係規程集」追記
• 2023年1月23日 iコンピテンシディクショナリ（iCD2022）を追加
• 2023年1月4日 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準（DSS）】を追加
• 2022年11月22日 知識の保管庫（ナレッジベース）Ver.2.0として、「極意」の続編と位置づけ、フレームワークに準拠した体系的なセキュリティ対策の教則本の目次としてリニューアル。
• 2022年7月11日 「サイバーセキュリティ2022（2021年度年次報告・2022年度年次計画）」のポイント要約を追加
• 2022年6月25日 各ドキュメントのMindMap版を追加
• 2022年2月17日 「東京都デジタル人材確保・育成基本方針」の要約を追加
• 2022年2月8日 セキュリティ対策を確実にするための⼈材育成の事業紹介を追加
• 2022年1月28日 補足・コラム、個人情報保護関連を追加
• 2022年1月20日 NIST関連、デジタル社会の実現に向けた改革関連を追加
• 2022年1月18日 ISO/IEC 27002、個人情報保護法の改正関連を追加
• 2022年1月11日 ITSS+関連を追加
• 2021年12月27日 「サイバーセキュリティ戦略（NISC）」の要約等を追加
• 2021年10月7日 試験公開を開始

『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク ⇒ セキュリティ関連知識の保管庫（ナレッジベース2023）（Web版） ⇒ 【本編01】サイバーセキュリティを取り巻く背景 ⇒ 【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】 ⇒ 【本編03】これからの企業経営で必要な観点【社会の動向】 ⇒ 【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】 ⇒ 【本編05】網羅的なセキュリティ対策を知る【フレームワーク】 ⇒ 【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】 ⇒ 【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】 ⇒ 【本編08】全体総括】 ⇒ 【Annex】セキュリティ関連関連資料 ⇒ ＜【2022年版凍結】セキュリティ関連知識の保管庫（ナレッジベース）（Web版）＞ ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』のページ ⇒ 電子書籍（EPUB版）の閲覧 ⇒ 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト