ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

中小企業のサイバーセキュリティ対策の普及啓発の一環で、ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の改訂や相談対応業務のために要約した次世代IT技術、サイバーセキュリティ対策に関連した知識の保管庫(ナレッジベース)です。今後、順次、情報を掲載していく予定です。


2023.1.30

セキュリティ関連知識の保管庫(ナレッジベース)【極意続編】

位置づけ

  • ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の続編のために要約した次世代IT技術、サイバーセキュリティ対策関連の知識の保管庫(ナレッジベース)です。
  • 国際標準、NISC,METI,IPA等の政府関連機関が提供するフレームワーク・ガイドライン等の最新版をベースとして、実践的な情報への道しるべとなる情報を提供します。
  • 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.1.サイバーセキュリティを取り巻く背景

  • (目的:クラウドワークロードの複雑化、サプライチェーンの脆弱性、IoT、DX等、新しいテクノロジーへのセキュリティ対策が求められている状況を解説し、Society5.0等で示されている社会の方向性と実現に向けた基本概念、その環境下で中小企業に求められる考え方を提示する)
  • 1.1 目標とする対策のレベルを想定
    • (クイックアプローチ・ベースラインアプローチ・網羅的アプローチ)
  • 1.2 【事例を知る】重大なインシデント発生から課題解決まで
    • (要旨・キーワード等:最近の攻撃トレンドを踏まえ、中小企業にも発生しうるサイバー攻撃・被害をケーススタディとして掲載)
  • 1.3 【社会の動きを知る】社会の現状と今後の動向
    • (要旨・キーワード等:Society5.0、Cybersecurity for All、DX with Security、プラス・セキュリティ、デジタルリテラシー 等)
    • DX時代に対応が求められるIT環境
    • (要旨・キーワード等:IoT、ビッグデータ、ロボット、AI、5G 等)
    • DX時代に不可欠な人材の確保
    • (要旨・キーワード等:DX with Securityで必要な人材の役割とスキル 等)

目次.2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】

  • (目的:向上支援事業にて到達すると想定されるレベル(Security Action二つ星宣言)の基礎知識を振り返る)
  • サイバーセキュリティに関する基礎知識
    • (要旨・キーワード等:各種試験シラバス(ITパスポート、基本情報処理技術者、情報セキュリティマネジメント)等より基礎知識を掲載)
  • Security Action(IPA)
    • (要旨・キーワード等:情報セキュリティ5か条、情報セキュリティ基本方針、情報セキュリティ自社診断 等)

目次.3.これからの企業経営で必要な観点【社会の動向】

  • (目的:企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する)
  • 現実社会とサイバー空間の繋がり
    • (要旨・キーワード等:サプライチェーンを構成する企業と企業が、フィジカル空間とサイバー空間で繋がっていることを掲載)
  • 守りのIT活用
    • (要旨・キーワード等:社内業務の効率性・生産性向上や働き方の変革 等)
  • 攻めのIT活用
    • (要旨・キーワード等:ビジネスの発展や売上・企業価値の向上 等)
  • 経営投資としてのサイバーセキュリティ対策
    • (要旨・キーワード等:DX白書(IPA)等より経営投資としてのサイバーセキュリティ対策の必要性を掲載)

目次.4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】

  • (目的:社会全体におけるサイバーセキュリティの現状を解説する)
  • 国の方針・施策
    • (要旨・キーワード等:経済財政運営と改革の基本方針、サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ2022、情報セキュリティ白書)
  • 脅威
    • (要旨・キーワード等:情報セキュリティ10大脅威、サイバー攻撃・犯罪の情勢)
  • 法令遵守
    • (要旨・キーワード等:関係法令Q&Aハンドブック(NISC)等より法令遵守に関する事項を掲載、GDPR、個人情報保護)

目次.5.網羅的なセキュリティ対策を知る【フレームワーク】

目次.6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

目次.7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

目次.8.全体総括

  • (目的:テキスト全体のポイントを振り返り、知識を定着させる。また、セキュリティ人材として自走するために必要な考え方等を提示する。)

目次.Annex

<<本編>>

1.サイバーセキュリティを取り巻く背景

目標とする対策のレベルを想定

  • LV.1 【クイックアプローチ】緊急に、狙われやすい大きな穴(セキュリティホール)を塞ぐ
    • 報道されるような事象、情報セキュリティ10大脅威を参考にして、緊急対応する
  • LV.2 【ベースラインアプローチ】素早く多くの穴を塞ぐ
    • ガイドブック、ひな形を参照して、迅速に進める
  • LV.3 【網羅的アプローチ】じっくりと、小さな穴を残さないように確実に塞ぐ
    • 網羅的な対策が定義されているフレームワークに沿って進める

【事例を知る】重大なインシデント発生から課題解決まで

  • 事案発生⇒課題の抽出(組織的、技術的、社会的)⇒再発防止策の実施(課題への対応・対策)
  • 自組織における対策状況の見直しのきっかけとして
    • ただし、環境は組織によって異なるため、事例は一例に過ぎずそのまま適用しただけでは、重大な事象・対策を見落とす可能性がある。
  • 事例を踏まえて、網羅的な対策のあり方、目標とするレベルを認識の上で、具体的に実施していくことが重要。
ランサムウェアの感染

【社会の動きを知る】社会の現状と今後の動向【概要】

  • Society5.0等で示されている政府機関が目指す社会の方向性と、実現に向けた基本的な概念を理解する。
  • そのような環境の中で、中小企業のビジネス発展のために意識しておくべき考え方を提示する
DX時代に対応が求められるIT環境
想定されるセキュリティ侵害と対策のあり方
  • LV.1, LV.2, LV.3 を想定して、リスクの大きいものからはじめ、最終的には、網羅的かつ迅速な対策へ
DX時代に不可欠な人材の確保
  • チェンジマインド、リスキリング、、、

2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】

  • 向上支援事業にて到達すると想定されるレベル(Security Action二つ星宣言)の基礎知識を振り返る

ITリテラシー

ITパスポート試験(iパス)

Security Action 二つ星レベル

情報セキュリティ5か条
  • 情報セキュリティ5か条
    • OSやソフトウェアは常に最新の状態にしよう!
    • ウイルス対策ソフトを導入しよう!
    • パスワードを強化しよう!
    • 共有設定を見直そう!
    • 脅威や攻撃の手口を知ろう!
5分でできる情報セキュリティ自社診断
情報セキュリティ基本方針
  • 情報セキュリティ基本方針
    • 経営者の責任
    • 社内体制の整備
    • 従業員の取組み
    • 法令及び契約上の要求事項の遵守
    • 違反及び事故への対応
    • ・・・

導入済と想定するセキュリティ対策機能

  • 導入を支援する東京都の事業
UTM相当機能
EDR相当機能

3.これからの企業経営で必要な観点【社会の動向】

  • ※企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する

経済財政運営と改⾰の基本⽅針

  • 経済財政運営と改革の基本方針2022
    • 国の施策の基本方針であり、IT及びセキュリティ関連の施策は、この基本方針に沿った形で実施計画が策定されていることを認識する
  • 【要約資料】 国の基本方針および実施計画の要約
    • (2)⺠間部⾨におけるDXの加速
    • 地⽅における中⼩企業も含めて ⾮対⾯型ビジネスモデルへの変⾰や新産業モデルを創出する。
    • このため、企業全体で取り組むデジタル投資を税制により⽀援し、特に中⼩企業においては、IT導⼊サポートを拡充し、そのDX推進を⼤胆に加速するほか、標準化された電⼦インボイスや、⾦融機関による⽀援等も通じた中⼩企業共通EDI等の普及促進を図る。
    • また、物流DXや標準化等を通じて、サプライチェーン全体の徹底した最適化を図る。加えて、AI、IoTやビッグデータを活⽤し、新たな付加価値を創造していく。
    • (3)デジタル⼈材の育成、デジタルデバイドの解消、サイバーセキュリティ対策
    • IPAが、経済界との協⼒を含む体制整備を⾏い、各種デジタル⼈材のスキルを評価する基準を作成する。
      • ※データサイエンティスト(統計分析やコンピュータサイエンスの知識を元に、⼤量のビッグデータから新たな知⾒を引き出し、価値を創造する⼈材)、サイバーセキュリティスペシャリスト(個⼈や組織をサイバー攻撃の脅威から守るセキュリティ専⾨⼈材)、アーキテクト(DX技術を理解して、ビジネスとDX技術導⼊の融合を指揮することのできる⼈材)、エンジニア(アプリ開発、クラウド等のデジタル技術をフルスタックで⾝に付け、技術のビジネス導⼊を担う⼈材)、オペレータ(DXを⽀えるデジタル基盤の安定稼働を⽀える⼈材)など
    • 特に地域で育成したデジタル⼈材を積極的に活⽤し、デジタル活⽤に不安のある⾼齢者等にオンラインサービスの利⽤⽅法等に関して講習会・出前講座等の助⾔・相談を⾏うとともに、⾏政窓⼝等でのサポートに努めるなど、⽀援の仕組みの充実を図る。
    • 関係府省庁、電気通信事業者等重要インフラ事業者による積極的なセキュリティ対策を推進するほか、サイバーセキュリティに係るサプライチェーンリスクへの対策を強化する。
      • サイバーセキュリティに係るサプライチェーンリスク:製品の開発・製造、設置等の過程で情報の窃取・破壊や悪意ある機能が組み込まれること。
    • 2 重点化を図るべき分野
    • (1)経済社会の活⼒の向上及び持続的発展 〜DX with Cybersecurityの推進〜
    • ① 経営層の意識改⾰
      • デジタル化の進展に応じ、企業の取組状況が、市場を含む企業内外から持続的な企業価値の向上につながるものとして評価され、更なる取組を促進される機運の形成に資するものであること。
      • また、経営層に対し、「プラス・セキュリティ」知識を補充できる環境整備に資するものであること。
    • ② 地域・中⼩企業におけるDX with Cybersecurityの推進
      • 地域・中⼩企業において、デジタル化と同時にサイバーセキュリティ対策に取り組むに当たり直⾯する、知⾒や⼈材等のリソース不⾜等の課題への対処に資するものであること。
    • ③新たな価値創出を⽀えるサプライチェーン等の信頼性確保に向けた基盤づくり
    • ④誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着
      • デジタル化の進展に応じ、様々なデジタルサービスに触れる機会が増えていく中、リテラシーの向上と定着に向けて、その機会や⽀援の取組と連動するものであること。

デジタル社会の実現に向けた改⾰

Society5.0
IoT、ビッグデータ、ロボット、AI、5G、、、
DX(デジタルトランスフォーメーション)
DX with Security
  • サービスの向上のためにセキュリティ対策は必須
CPS(サイバー・フィジカル・システム)

サイバーセキュリティ対策が経営に与える重大な影響

生産性向上(経費の削減)

  • 従来、IT活用は業務効率化やコスト削減を目的として、定型業務の自動化に集中。(守りのIT投資)

新たなビジネスの展開(先行投資)

  • 売り上げ増加を目指したIT投資(攻めのIT投資)
  • 「既存事業の業務生産性向上や働き方の変革」で得られた原資を「新たな価値の創出」に向けた活動に充当していくことで、企業の競争力と経営体力を高めながら、環境変化にも対応する

次世代技術を活用したビジネス展開

4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】

  • ※社会全体におけるサイバーセキュリティの現状を解説する

国等の方針・施策が現在の内容に至るまで

Cybersecurity for All

  • (産業横断的なサプライチェーン管理、サイバー犯罪対策、クラウドサービス利用のための対策の多層的な展開、経済安全保障の視点を含むサイバー空間の信頼性確保)

情報セキュリティ白書、10大脅威で示された脅威の実態

【NISC】サイバーセキュリティ基本法、サイバーセキュリティ戦略

  • サイバーセキュリティ基本法
  • サイバーセキュリティ戦略
  • 【NISC】サイバーセキュリティ戦略
  • サイバーセキュリティ2022
    • 2021年度年次報告・2022年度年次計画
  • 【要約資料】
    • Sec21-01_サイバーセキュリティ戦略の要約
    • 4.1.経済社会の活力の向上及び持続的発展 ~DX with Cybersecurity の推進~
      • 4.1.1.経営層の意識改革
      • 4.1.2.地域・中小企業における DX with Cybersecurity の推進
      • 4.1.3.新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
      • 4.1.4.誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着
    • 4.2.国民が安全で安心して暮らせるデジタル社会の実現
      • 4.2.1.国民・社会を守るためのサイバーセキュリティ環境の提供
      • 4.2.3.経済社会基盤を支える各主体における取組①(政府機関等)
    • 4.4.横断的施策
      • 「デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進」「公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保」「安全保障の観点からの取組強化」という3つの方向性を意識して、取組推進を図る。
      • 4.4.1.研究開発の推進
      • 4.4.2.人材の確保、育成、活躍促進
      • (1) 「DX with Cybersecurity」に必要な人材に係る環境整備
        • デジタル化の進展とあわせてサイバーセキュリティ確保に向けた取組を同時に推進すること(DX with Cybersecurity)が社会全体で実現されるための環境整備
        • ①「プラス・セキュリティ」知識を補充できる環境整備
        • 経営層や、特に企業・組織内でDX を推進するマネジメントに関わる人材層をはじめとして、ITやセキュリティに関する専門知識や業務経験を必ずしも有していない様々な人材に対して「プラス・セキュリティ」知識が補充され、内外のセキュリティ専門人材との協働等が円滑に行われることが、社会全体で「DX with Cybersecurity」を推進していく上で非常に重要である。
        • 様々な企業・組織において、人材育成プログラムを受講する呼びかけ等が行われることや、職員研修等の機会が提供されることが重要である
        • ②企業・組織内での機能構築、人材の流動性・マッチングに関する取組
        • 迅速で柔軟な開発・対処、新たなリスクに対応した監視・対処のプラクティスが必要となる。特に、前者の実践に当たっては 「セキュリティ・バイ・デザイン」 の考え方の重要性も一層増し、企画部門や開発運用部門と企業・組織内のセキュリティ機能との連携・協働が一層重要となると考えられる。
        • 働き方や雇用形態の多様化、デジタル改革の推進を機会としてIT・セキュリティ人材の流動性・マッチング機会の促進が図られるための環境整備が必要である。
        • 特に地域・中小企業においてセキュリティ人材の不足が顕著であるところ、地域における「共助」の取組や、産業界と教育機関との連携促進・エコシステム構築を通じ、プラクティスの実践に当たって参考となるノウハウやネットワークの提供を行う。
      • 4.4.3.全員参加による協働、普及啓発
      • リテラシーを身に付け、自らの判断で脅威から身を守れるよう、官民が一体となって行動強化につなげるための普及啓発・情報発信に取り組むことが重要である。
      • 本戦略では「Cybersecurity for All」という考え方を示しているが、これは「全員」が自らの役割を主体的に自覚しサイバーセキュリティに取り組む、という考え方を含んでいる。
      • 加えて、特に、テレワークの増加やクラウドサービスの普及等の近年の人々の行動や企業活動の変化に応じて、ガイドラインや様々な解説資料等の整備が進められている。
【NISC】ITおよびサイバーセキュリティに関する組織の視点6分類
  • 企業経営のためのサイバーセキュリティの考え⽅の策定について

  • 【要約資料】

    • Sec01-11-02_ITおよびサイバーセキュリティに関する組織の視点6分類別に実施すべき対策
    • 【理想的に】ITの利活⽤を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争⼒強化に活⽤しようとしている企業
    • 【もっと積極的に】IT・セキュリティをビジネスの基盤として捉えている企業
    • 【無駄な投資】過剰なセキュリティ意識により、ITの利活⽤を著しく制限し、ITの利活⽤を競争⼒強化に活⽤させていない企業
    • 【危険】情報セキュリティ対策の必要性は理解しているが、必要⼗分なセキュリティ対策が出来ていないにも関わらず、ITの利活⽤を進めている企業
    • 【危険】情報セキュリティの必要性を理解していない企業⾃らセキュリティ対策を⾏う上で、事業上のリソースの制約が⼤きい企業
    • 【対象外】ITを利⽤していない企業

国内外の関係法令等

5.網羅的なセキュリティ対策を知る【フレームワーク】

  • ※業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する
  • これらのフレームワークを活用することにより、自組織で必要と思われるものを選択することにより、対策の漏れをなくすことが可能になる
  • ISMS認証等を受ける場合は、内容の理解は必須となる

フレームワークの概要

  • 【要約資料】

  • 情報セキュリティに関する各種フレームワーク

    • 情報セキュリティ対策を行う上において、様々なフレームワークが存在する。
    • 現在のフレームワークはどれも必要な全ての対策を網羅していません。企業のセキュリティ対策の目的、状況に応じてそれぞれのフレームワークを補完して活用することが望ましい。
  • 政府機関から提示されている各種ガイドブック、ハンドブック、テキスト類

    • 政府機関から提示されている各種ガイドブック、ハンドブック、テキスト類は、ISMSのフレームワークがベースとなっており、現在のほとんどの組織は、その規格に準拠して、組織の情報セキュリティ対策の規程の整備、それに基づく対策の実施を行っている。

5.0 【新規】ITシステム管理・監査関連のフレームワーク

  • システムの体系的なサイバーセキュリティ対策を検討するに当たっては、まず、対象となるシステムの管理・監査のフレームワークの概要と実施項目を理解しておくことが重要である。
  • 【参照資料】

5.1 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022, 27002:2022]

  • ISMSは、「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること。」 であり、JIS Q 27001(ISO/IEC 27001)により、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項が国際規格として示されている。
  • リスクアセスメントの規格としては、情報セキュリティリスクマネジメント(ISO/IEC27005)があり、その内の「8.情報セキュリティリスクアセスメント」にリスクの特定からリスク評価までの基準が示されている。
  • なお、セキュリティに関するリスクに限らず全般のマネジメントの規格としては、ISO 31000:2018(JIS Q 31000:2019)がある。
ISMSの改訂の動き
  • ISO/IEC 27002は、2013年版から9年を経て、次期改定版が2022年度に発行された。
  • 新しいISO/IEC 27002では、サイバーセキュリティ脅威や新しいセキュリティ技術の進化に合せて、11個の新規の情報セキュリティ管理策が追加された。
  • ISO/IEC 27002の改定の影響を受けて、ISO/IEC 27001の附属書Aの部分を中心としたISO/IEC 27001も改定された。
ISMSの用語
  • JIS Q 27001(ISO/IEC 27001)は、
    • 「ISMSの要求事項を定めた国際規格。」
    • 初版は、BS7799、ISO/IEC17799、JISX5080
    • 東京都を含め、一般的な組織は、この規格に基づいて、情報セキュリティ対策を行っており、セキュリティ対策基準、実施手順を作って運用してきた。
  • JIS Q 27002(ISO/IEC 27002)は、
    • 2013年版は、「情報セキュリティ管理策の実践のための規範」 とされていたが、2022年版は、「情報セキュリティ管理策」とされた。ISO/IEC27001に基づくISMSにおいて使用されるが、ISMSとは独立した情報セキュリティ管理策の情報源として使用される。
    • 国際的なベストプラクティスとして、組織において情報セキュリティ管理策を実施するため、また、組織独自の情報セキュリティガイドラインの策定のために利用されることを想定
    • 新しい脅威や技術動向に合わせて、14の分類を、組織的対策、人的対策、物理的対策、技術的対策の4つの分類に再整理し、114個の管理策を、24個の管理策を統合し、また、11個の新規管理策を加えて、93個の管理策が示されている
    • サイバーセキュリティへの対応を強化するための管理策が充実させ、またCSFとの互換性のために、属性としてサイバーセキュリティ概念を導入した。従来は、ISMSとCSFの双方でカバーしていない項目があったが、これにより、ISMSとしての管理策が、CSFの管理項目を包含した。
  • ISMS認証とは、
    • 「第三者であるISMS認証機関が、組織の構築したISMSがISO/IEC27001に基づいて適切に管理されているかを審査し証明すること。」
  • ISMS適合性評価制度は、

    • 「認証を公正に運用するために、認証機関、認定機関、要員認証機関等の役割と連携を規定した国際的な枠組み」
  • 【参照資料】

社会の進展に対応したISMSの変遷
  • 1995年 BS7799 ⇒ 2000年 ISO/IEC17799 ⇒ 2007年 ISO/IEC27002
マネジメント基準(ISO/IEC27001:2022)
  • 情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしたもの。「マネジメント基準」は、原則、全て実施すべき事項である。
  • A.4.4_情報セキュリティマネジメントの確立
    • 4.4.1 組織の役割、責任及び権限 [27001:2013-5.3 / 5.1]
    • 4.4.2 組織及びその状況の理解 [27001:2013-4.1]
    • 4.4.3 利害関係者のニーズ及び期待の理解 [27001:2013-4.2]
    • 4.4.4 適用範囲の決定 [27001:2013-4.3]
    • 4.4.5 方針の確立 [27001:2013-5.2 / 6.2 / 5.1]
    • 4.4.6 リスク及び機会に対処する活動 [27001:2013-6.1]
    • 4.4.7 情報セキュリティリスクアセスメント [27001:2013-6.1.2]
    • 4.4.8 情報セキュリティリスク対応 [27001:2013-6.1.3]
  • A.4.5_情報セキュリティマネジメントの運用
    • 4.5.1 資源管理 [27001:2013-7.1 / 5.1]
    • 4.5.2 力量、認識 [27001:2013-7.2 / 7.3 / 5.1]
    • 4.5.3 コミュニケーション [27001:2013-7.4]
    • 4.5.4 情報セキュリティマネジメントの運用の計画及び管理 [27001:2013-8.1]
    • 4.5.5 情報セキュリティリスクアセスメントの実施 [27001:2013-8.2 / 8.3]
  • A.4.6_情報セキュリティマネジメントの監視及びレビュー
    • 4.6.1 有効性の継続的改善 [27001:2013-10.2 / 8.2 / 9.2 / 9.3 / 5.1]
    • 4.6.2 パフォーマンス評価 [27001:2013-9]
    • 4.6.3 マネジメントレビュー [27001:2013-9.3]
  • A.4.7_情報セキュリティマネジメントの維持及び改善
    • 4.7.1 是正処置 [27001:2013-10.1]
  • A.4.8_文書化した情報の管理
    • 4.8.1 文書化 [27001:2013-7.5.1]
    • 4.8.2 文書管理 [27001:2013-7.5.2 / 7.5.3]
管理策基準(ISO/IEC27001:2022)
  • 「管理策基準」は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方 針に従って管理策を選択する際の選択肢を与えるもの
  • A.5_組織的対策
    • 37項目
    • 【新規】5.7 Threat intelligence(脅威インテリジェンス)
    • 【新規】5.23 Information security for use of cloud services(クラウドサービス利用のための情報セキュリティ)
    • 【新規】5.30 ICT readiness for business continuity(事業継続のためのICTの備え)
  • A.6_人的対策
    • 6項目
  • A.7_物理的対策
    • 13項目
    • 【新規】7.4 Physical security monitoring(物理的セキュリティの監視)
  • A.8_技術的対策
    • 34項目
    • 【新規】8.9 Configuration management(構成管理)
    • 【新規】8.10 Information deletion(情報削除)
    • 【新規】8.11 Data masking(データマスキング)
    • 【新規】8.12 Data leakage prevention(データ漏洩防止)
    • 【新規】8.16 Monitoring activities(監視活動)
    • 【新規】8.23 Web filtering(Webフィルタリング)
    • 【新規】8.28 Secure coding(セキュアコーディング)
属性
  • ※他の組織や団体が発行するガイドライン等との関連を明確にするもの
  • 各管理策は、「preventive 予防」、「detective 検出」、「corrective 是正」のいずれかに分類される。
  • また「confidentiality 機密性」、「integrity 完全性」、「availability 可用性」のいずれかに関連付けられる。
  • さらに、(サイバーセキュリティの概念、運用能力、セキュアドメインごとに) 属性のグループ分けできる。
  • コントロール種別
    • 予防的;発見的;是正的
  • 情報セキュリティ特性
    • 機密性;完全性;可用性
  • サイバーセキュリティ概念
    • 特定;防御;検知;対応;復旧
    • ※CSFのフレームワークコアの分類に対応
  • 運用能力
    • ガバナンス;資産管理;情報保護;...
  • セキュリティドメイン
    • ガバメント及びエコシステム、保護、防御、レジリエンス

ISO 31000 リスクマネジメント

ISO/IEC 27000ファミリーの規格の改訂状況

5.2 サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

  • METIにおいては、ISMS、CSFを包含した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF」を提唱している。
  • 単純なサイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するための道具として提示されている。
  • 全体の枠組みに沿って、対象者や具体的な対策を整理し、『サイバーセキュリティ経営ガイドライン』や産業分野別のガイドラインなどの実践的なガイドラインを整備する予定。

  • 【参照資料】

  • 【要約資料】
    • Sec01-03-04【METI】【スライド】サイバー・フィジカル・セキュリティ対策フレームワークの概要
    • Sec01-03-02産業分野におけるサイバーセキュリティ~CPSFを中心に~【METI奥家氏】
    • サイバー・フィジカル・セキュリティ対策フレームワークを策定する目的
      • 「Society5.0」、「Connected Industries」の実現へ向けて、産業構造、社会の変化に伴うサイバー攻撃の脅威の増大に対応することが必要。
    • フレームワークの構造~「Society5.0」型サプライチェーン"価値創造過程"への対応
      • あらゆるものがつながるIoT、データがインテリジェンスを生み出すAIなどによって実現される「Society5.0」(人間中心の社会)、「Connected Industries」では、 製品/サービスを生み出す工程(サプライチェーン)も従来の定型的・直線的なものとは異なる、多様なつながりによる非定型の形態を取ることになる。
      • 本フレームワークでは、「Society5.0」型サプライチェーンを、価値創造過程(バリュークリエイションプロセス)と定義し、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針を示す。
    • 三層構造アプローチ
      • 第1層:企業の繋がり(従来型サプライチェーン)
      • 生産された製品等-信頼できる企業が信頼できる生産活動によって仕様どおりの製品やサービスを供給しているか
      • 第2層:フィジカル空間とサイバー空間のつながり
      • センサーで読み込まれたデータ等-フィジカル空間における情報を、 センサーなどのIoT機器が正確にデジタル化し、サイバー空間に"転写"しているか
      • 第3層:サイバー空間におけるつながり
      • データ分析で得られたデータ等-収集する過程で改ざんされていないデータを適切な方法で加工した、 信頼できるデータを活用できるか
意義
  • Society5.0を意識したセキュリティリスクとその対策方法について記述されている。
  • 自社の事業が従来のサプライチェーンから離れ、新しくバリュークリエイションプロセスへと発展した際に、単純なサイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するための道具としてもCPSFは効果的に活用できると思われる。

5.3 セキュリティ関連NIST文書

重要インフラのサイバーセキュリティを改善するためのフレームワーク(CSF)
  • 概略
    • NIST サイバーセキュリティフレームワーク(CSF)の正式名称は、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」で、もともとは米国政府機関の重要インフラの運用者を対象として誕生
    • NISTで作成されたフレームワークであり、防御にとどまらず、検知・対応・復旧といったステップも含み、インシデント対応を含めており、日本においても、今後普及が見込まれる
    • 「サイバーセキュリティ経営ガイドライン Ver 2.0 」では、フレームワークとして、「付録D_国際規格ISOIEC27001及び27002との関係」でISMSとの対応関係とともに、「付録A サイバーセキュリティ経営チェックシート」でCSFとの対応関係も提示されている
    • CSFの利用方法については、「フレームワークをどのように利用するかは、それを実施する組織に委ねられている。」と述べられており、CSFは汎用的なフレームワークであるがゆえに、指示書やノウハウ集ではない点を理解しておくことが大切
  • 構成
    • ISMS(情報セキュリティマネジメントシステム)との関連性
    • ISMSの属性の1つである「サイバーセキュリティ概念」の特定;防御;検知;対応;復旧の切り口を識別として、 指針や管理手法の対応が可能
    • フレームワークコア
    • 成果を達成するための対策と参考情報の一覧
    • 識別:29項目
    • 防御:39項目
    • 検知:18項目
    • 対応:16項目
    • 復旧:6項目
    • フレームワークインプリメンテーションティア
    • 対策情報を把握するための4段階の評価基準
    • ティア1:場当たり的、属人的である
    • ティア2:初期プロセスが整備されている
    • ティア3:プロセスが継続的に回っている
    • ティア4:プロセス自身の継続的改善に努めている
    • フレームワークプロファイル
    • コアとティアを組合せた、サイバーセキュリティ対策の「現在」と「目標」
    • 現在のプロファイル:現時点で達成されているサイバーセキュリティ成果
    • 目標のプロファイル:サイバーセキュリティリスクマネジメントの目標を達成するために必要な成果
  • 【要約資料】
    • [Sec01-03-05【スライド】経営リスク管理から考えるSecurity by Design(公開不可)]
    • [Cyber Security Framework(CSF)の実践におけるヒント(公開不可)]
SP800シリーズ
  • NIST SP 800とは?
  • CSFとSP 800の位置付け
    • セキュリティ管理の具体的な手法と手順を明記したガイドラインSP 800シリーズはCSFの下位概念で、CSFに則って整備されている。
  • NIST SP800-53とは?

    • 「NIST SP800-53(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)」は、米国連邦政府の内部セキュリティ基準を示すガイドライン。
    • 日本においても、政府で導入するクラウドサービスに要求するセキュリティ管理基準(ISMAP)の一つとして本ガイドラインの採用方針を出している。
  • NIST SP 800-53とNIST SP 800-171との関連

  • NIST SP 800-171とは?

    • 「NIST SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)」は、NIST CSD(Computer Security Division)が提供するセキュリティ対策ガイドラインの一つ。
    • SP800シリーズで保護する情報には、政府の機密情報とされるCI(Classified Information)とそれ以外の重要情報と位置付けられるCUI(Controlled Unclassified Information)の2種類があり、米国では、SP800-171でCUIを管理すると定めている。
    • 日本の防衛装備庁も防衛産業におけるサイバーセキュリティ体制の強化のための施策を一層促進するため、 SP 800-171を参考に、「防衛産業サイバーセキュリティ基準」を整備している。
  • NIST SP 800-161とは?

    • 「システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントのガイダンス」
    • 調達から販売・供給までの一連のサプライチェーンに存在する業務委託先や関連企業のすべてにおいて、一貫したセキュリティ基準を持つことが必要だと述べられている。
    • NIST SP800-161の目的は、業務委託先や関連企業におけるセキュリティ対策である。
  • NIST SP 800-40とは?

  • NIST プライバシーフレームワーク Ver1.0とは?

5.4 サイバーセキュリティ経営の基本的な姿勢

I.サイバーセキュリティは経営問題
  • セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要
  • セキュリティ投資は必要不可欠かつ経営者としての責務である。
II.経営者が認識すべき3原則
  • (1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
    • 対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
  • (2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
    • サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載
  • (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
    • 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載
実行すべき「重要7項目の取組」
  • 取組1 情報セキュリティに関する組織全体の対応方針を定める
  • 取組2 情報セキュリティ対策のための予算や人材などを確保する
  • 取組3 必要と考えられる対策を検討させて実行を指示する
  • 取組4 情報セキュリティ対策に関する適宜の見直しを指示する
  • 取組5 緊急時の対応や復旧のための体制を整備する
  • 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  • 取組7 情報セキュリティに関する最新動向を収集する
III.サイバーセキュリティ経営の重要10項目
  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2:サイバーセキュリティリスク管理体制の構築
  • 指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
    • セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
  • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5:サイバーセキュリティリスクに対応するための仕組みの構築
  • 指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施
  • 指示7:インシデント発生時の緊急対応体制の整備
  • 指示8:インシデントによる被害に備えた復旧体制の整備
    • 事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
  • 指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
    • 自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
  • 指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
    • 有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

  • ※網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策(対策基準レベル)の概要を解説する。

  • 網羅的なフレームワークを参考に、組織の現状と目標に応じて必要十分な管理策を選択して、段階的に、組織としての対策基準を策定する。

  • ※対策基準を策定することにより、セキュリティ対策をしていることを内外に示し、説明責任を果たす。
  • ※対策基準のレベルは抽象度が高く、具体的に実践することはできない。この基準に従って、実際に対策が講じられるように、実施手順(実務者マニュアル)等を作成し、運用する。
  • ※対策基準に実施手順の一部を記載して、実施手順書の作成を省略することも可能。但し、内部での手順を記載した場合は、外部に示すことができず、説明責任は果たせない。

DX with Security

  • サービスの向上のためにセキュリティ対策は必須

6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドラインのサンプルを活用して】

6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

情報セキュリティのマネジメント基準

※フレームワークで提示されている**情報セキュリティマネジメント基準を参考に、組織の現状と目標に応じて必要十分な基準を選択**して、セキュリティ対策の運用基準を明確にする。
確立
運用
監視及びレビュー
維持及び改善
ドキュメントの管理

情報セキュリティの管理策

「管理策」
※管理策に沿って、対策基準(各種関連規程)を策定する
組織的管理規程
人的管理規程
技術的管理規程
物理的管理規程

「属性」

※他の組織や団体が発行するガイドライン等との関連を明確にするもの
コントロール種別
  • 予防的;発見的;是正的
情報セキュリティ特性
  • 機密性;完全性;可用性
サイバーセキュリティ概念
  • 特定;防御;検知;対応;復旧
    • ※CSFと対応
運用機能
  • ガバナンス;#資産管理;#人的資源のセキュリティ;#物理的セキュリティ;#システム及びネットワークの セキュリティ;#アプリケーションセキュリティ;#セキュリティを保った構成;#識別情報及びアクセスの管理;#脅威及びぜい弱性の管理;#継続;#供給者関係のセキュリティ;#法令及び順守;#情報セキュリティ事象管理;#情報セキュリティ保証
セキュリティドメイン
  • ガバメント及びエコシステム;保護;防御;レジリエンス

7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

  • ※中小企業が策定した対策基準に基づいて具体的に実施する内容、手順(実施手順レベル)を解説する。
  • 対策基準に記載された対策の具体的な実施のための仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等に記載すべき事項をひな形等で解説する
  • 補足
    • 公開を前提とせず、対策基準で明記した規程を具体的に行うために、組織内の各職制において、どんな時に何をどのように行うかを明示する。
    • ※対策基準が策定されても、具体的な手順等が用意されなければ、実効性を担保することは困難
    • ※また、対策基準を策定せずに、いきなり実施手順を作成すると、対策に漏れが生じて、十分な対策とならない可能性がある。
    • ※必要に応じて、職制毎、事象毎のガイドブックとして分冊とすることが有効

7.1 実施手順としての作成ドキュメントおよび作成手順

7.1.1 作成すべきドキュメント(共通及び職種等別)

  • 全社共通
  • 経営者層
  • 企画管理部門
  • システム構築実務者
  • サービス提供実務者
  • サービス利用者(一般従業員)
一般従業員向け
システム管理者・担当者向け
組織経営者・責任者向け

7.1.2 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

7.1.3 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】

7.1.4 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

  • 作成した対策基準が、「絵に書いた餅」にならないよう、7.1 以降の各項目に対応した手順を作成する

7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順

7.3 組織的対策

作成する候補となる実施手順書類

  • 情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書(役割分担表、職務、管理責任、広報)作成及び実施(ISO/IEC27002:2022より抜粋)
  • 「脅威インテリジェンス」(情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施
  • 情報資産台帳作成・維持実施手順書(情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)の作成及び運用
  • クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成
  • 情報セキュリティインシデント管理の計画、インシデント対応マニュアル(防御・検知・対応・復旧)の作成
  • ICTサービスに関しての事業継続計画策定、実施、維持、テスト実施手順書の作成
  • 法的、法的、規制および契約上の要件等の確認手順書の作成
  • 知的財産、データ、プライバシー等の管理手順書の作成
  • セキュリティ対策状況の点検・監査・評価・認証
  • 文書化された各手順書のレビュー

情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書作成及び実施

  • (役割分担表、職務、管理責任、広報)

情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施

  • 「脅威インテリジェンス」

情報資産台帳作成・維持実施手順書の作成及び運用

  • (情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)

クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成

情報セキュリティインシデント管理の計画、インシデント対応マニュアルの作成

  • (防御・検知・対応・復旧)

ICTサービスに関しての事業継続計画(IT-BCP)策定、実施、維持、テスト実施手順書の作成

法的、法的、規制および契約上の要件等の確認手順書の作成

知的財産、データ、プライバシー等の管理手順書の作成

セキュリティ対策状況の点検・監査・評価・認証

外部委託契約(⇒技術的対策)

7.4 人的対策

作成する候補となる実施手順書類

  • スクリーニング、雇用契約書、懲戒手続き、雇用の終了または変更後の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティ イベントの報告手順書等の作成・維持と運用

7.4.2 IT及びデジタル人材の確保

  • 【要約資料】
    • INFORMATION 6-6 DX時代に不可欠な人材の確保
    • S1 ビジネスの発展のための人材確保のポイント
      • S1.1.企業の維持・発展のために経営者が意識すること
      • SDGsの達成への貢献:社会的要請に応えることにより企業価値を創造
      • DXへの早期対応:他組織に先駆けて対応することによるビジネスチャンス
      • DX時代のビジネスチャンスを生かすためには、デジタルリテラシーを持った人材の確保が重要
      • S1.2.IT及びデジタル人材の確保
        • 「デジタルを作る人材」の確保
        • 「デジタルを作る人材」だけでなく「デジタルを使う人材」の育成も必須
        • 「リスキリング」:システム関連部署だけでなく、全員がデジタルリテラシーを持つ
        • 網羅的な素養を確保:人材育成が困難な場合は、外部の人材を積極的に活用
      • S1.3.サイバーセキュリティ対策人材
        • DX with Security:サービスの向上のためにセキュリティ対策は必須
        • まずはデジタルリテラシーを:具体的なセキュリティ対策実践するために
      • S1.4.人材育成:必要な素養を効率的・効果的に身に付けるために
    • S2. DX推進に必要な知識・スキルの体系
    • S3. 役割毎に必要な素養・スキル・知識のレベル
      • 経営者層
      • 企画管理部門
      • システム構築実務者
      • サービス提供実務者
      • サービス利用者
      • その他
    • DAX96-05_DX時代のビジネス展開のためのデジタルリテラシーの必要性と人材育成【詳細】
チェンジマインド
  • ※特に経営者の意識改革
  • 【要約資料】
    • INFORMATION 6-6_App.01 経営者の意識改革の方向性
    • 経営者の意識改革のポイント
      • 経営者の「チェンジマネジメント」の重要性の認識
      • 社員の能力再開発「リスキリング」
    • 中小企業における人材育成の戦略
      • ①守りのIT・セキュリティ対策
      • ②攻めのIT・セキュリティ対策
「デジタルを作る人材」の確保
  • DXに対応するためには、「デジタルを作る人材」であるシステム関連部門では、従来からのITスキルに加えて、データサイエンス・AIを生かせるスキル、知識等が必要である。
「デジタルを使う人材」の育成
  • DXの推進には、「デジタルを使う人材」である事業担当部門でも、基礎的なデジタルリテラシーを持つことが必要である。
「リスキリング」
  • システム関連部署だけでなく、全員がデジタルリテラシーを持つ
    • 「デジタルを作る人材」、「デジタルを使う人材」は、「リスキリング」等により、現状にプラスするデジタルリテラシーを持った人材へとスキルアップすることが効果的である。
    • 「リスキリング」とは、組織が従業員が成果を発揮し続けられるように新たなスキルを獲得できるようにすることである。企業には、従業員にどんな新しいスキルを獲得してほしいのかを示し、スキル獲得の基盤を構築する責任がある。
    • IT及びデジタルを扱うシステムを担当する人材がいないために、十分なITスキルを持たない従業員に、システム管理者として、責任を負わせているケースも多い。その状態では、費用対効果の高い環境構築・運用は難しく、障害等に対応することは更に困難である。

7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準(DSS)】

DXリテラシー標準(DSS-L)
DX推進スキル標準(DSS-P)

7.4.4 人材育成・人材確保のための各種スキル標準

基礎情報技術者試験シラバス
情報セキュリティマネジメント試験シラバス
デジタルリテラシー領域(Di-Lite)
  • 組織において、DXの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」も含めた両輪の育成が必要となる。
  • 全てのビジネスパーソンがデジタル時代のコア・リテラシーを身につけていくことが求められる。
  • スキル・知識の領域

    • マインド: デジタルに取り組むスタンス、マインド
    • 知識体系: デジタル活用分野/適用事例、デジタル知識
    • デジタルを扱うスキル
    • 基礎: 使う、作る/なおす
    • 応用: より上手に使う/広める、発想する/活用方針を示す、新たに作る/教える
  • 領域をカバーする認定試験等

    • ITパスポート試験(iパス)
    • IT及びデジタルを扱う人が持っているべき基礎知識。「社会人の常識」とされている。
    • G検定(ジェネラリスト検定)
    • AI をビジネスに活用するための基礎素養。AIを活用した事業設計から、関連する法規、契約や倫理にまつわる内容など、 広い範囲のビジネス活用の知識。
    • データサイエンティスト検定(リテラシーレベル)
    • データサイエンティストに必要なデータサイエンス力・データエンジニアリング力・ビジネス力についてそれぞれ見習いレベルの実務能力や知識。
ITSS+
プラス・セキュリティ
  • 様々な人材層・部門において、専門人材との協働が求められる。(協働のためには、互いの領域への相互理解が前提となる。)
  • ユーザ企業の主体的なIT活用・DX実施において経営・事業を担う者がセキュリティ知識を補充できるように

7.5 技術的対策

作成する候補となる実施手順書類

  • エンドポイントデバイス、 特権アクセス権、安全な認証、マルウェアに対する保護、技術的脆弱性の管理、バックアップ、冗長化、ロギング、監視、特権ユーティリティの使用、ネットワークの分離、Webフィルタリング、暗号の使用、開発ライフサイクル、アプリケーションのセキュリティ要件、セキュアコーディング、受入検査時のセキュリティテスト、外部委託開発要件、本番環境の分離、変更管理、テスト情報、情報システムの保護等に関する実施手順書

Security by Design

  • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。

共同責任モデル

  • オンプレミス(自社構築)、クラウド(IaaS、PaaS、SaaS)

対象領域

  • ユーザ、データ、アプリケーション、OS、サーバ、ネットワーク、ストレージ

「境界防御モデル」

  • FW、VPN、Proxy、IDS、IPS、UTM、EDR等

ゼロトラスト、ZTA(Zero Trust Architecture)、SASE(Secure Access Service Edge)のフレームワーク

ネットワーク制御(Network as a Service)

  • VPN
  • SD-WAN
    • VPNに代わって今後の普及が見込まれる。
    • SD-WAN(Software Defined-Wide Area Network)とは、ネットワークをソフトウェアで制御するSDN(Software Defined Networking)の技術をWANに適用し、拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成やトラフィックコントロールなどを実現する技術やサービス

セキュリティ統制(Security as a Service)

  • ネットワーク・セキュリティ
    • SWG (Secure Web Gateway)
    • Webアクセスを中継するプロキシの一種で、危険なサイトやコンテンツへのアクセスを遮断するセキュリティ機能をクラウドサービスとして提供する
    • SDP (Software Defined Perimeter)
    • 仮想的かつ動的なマイクロセグメンテーションおよびセキュアなリモートアクセスを実現する
  • デバイス・セキュリティ
    • EDR (Endpoint Detection and Response)
    • エンドポイントの一元管理を行うUEM※4やマルウェア侵入後の対策を支援する
    • EPP (Endpoint Protection Platform)
    • エンドポイントを保護するためにプラットフォーム
    • MDM (Mobile Device Management)
  • アイデンティティ・セキュリティ
    • IAM (Identity and Access Management)
    • IDの管理・認証・認可を行う
    • FIDO (Fast Identity Online)
    • FIDO認証の持つ大きな特徴は、単に、「パスワードを使わない」 「生体認証やセキュリティキーを使う」ということではなく、「サーバーとユーザーで秘密の情報を共有しない」 こと
    • 認証結果を公開鍵暗号方式により」ネットワーク上で安全にやりとりするための仕様が定められており、認証に必要な秘密情報は認証を行う端末のみに保存され、ネットワーク上での伝送やサーバーに保存する必要がない
      • サーバがユーザの秘密(秘密鍵やユーザデバイスの生体認証情報など)を保管しないため、通信経路、事業者側環境から認証情報が漏洩することはない
  • ワークロード・セキュリティ
    • CWPP (Cloud Workload Protection Platform)
    • クラウド上の仮想マシン、データベース、コンテナー、アプリケーション等を中心とした監視と保護のセキュリティソリューション
  • データ・セキュリティ
    • DLP (Data Loss Prevention)
    • 機密情報を特定することで、ユーザではなく、情報に対するアクセスや操作を監視することで漏えいを防止する仕組み。
  • 可視化と分析
    • CASB (Cloud Access Security Broker)
    • 統合的にログを管理・可視化・分析するSIEM※6やインターネットアクセスを可視化・制御する
    • SIEM (Security Information and Event Management)
    • ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み
    • CSPM (Cloud Security Posture Management)
    • IaaS/PaaSの設定ミス・脆弱性などクラウドのセキュリティ常態を可視化・管理する
  • 自動化
    • SOAR (Security Orchestration and Automation Response)
    • インシデントレスポンスを自動化する

IT環境構築・運用実施手順

  • Security by Design
    • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。
  • DevSecOps
    • DevSecOpsとは、情報システムにおいて開発(Development)と運用(Operations)が密に連携することで、開発にかかる期間を短縮し、リリース頻度を高める開発スタイル。
    • このDevOpsにセキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイル。
サービス構築・運用マニュアル
  • 【参照資料】
    • 政府情報システムの整備及び管理に関する標準ガイドライン【一般論】【実務手引書】

従来型開発モデル【ウォーターフォールモデル】での開発プロセス

サービス要件定義と留意点
  • 要件定義書記載項目(一般要件)

    • 業務要件
    • ・・・
    • 業務の継続の方針等
      • 業務の継続に伴うリスク及び基本的な考え方。なお、業務継続計画を策定する必要がある業務にあっては当該計画の策定時に検討
      • 定常時と大規模災害等の発災時に考慮すべき要因
    • 情報セキュリティ対策基準を適用する対策(組織的、人的、物理的対策)

      • 取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方
      • 情報セキュリティ上のリスクを特定し、その対策をシステム化要件(機能要件及び非機能要件)として定義できるように、情報セキュリティ対策の対象となる情報について、情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化
    • 機能要件

    • ・・・
    • 画面(GUI)(GUI)に関する事項
      • ユーザ認証等を含めた画面遷移の基本的考え方、画面入出力要件・画面設計要件等
    • 外部インタフェース(API)に関する事項
      • 外部インタフェース一覧、相手先システム、送受信データ、送受信タイミング、送受信の条件等
    • ・・・
    • 非機能要件
    • ・・・
    • 信頼性に関する事項
      • 稼働率等の可用性要件・目標値、データの滅失・改変を防止する完全性要件
    • 継続性に関する事項
      • 障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間等
    • 情報セキュリティに関する事項(技術的対策)
      • 主体認証、アクセス制御、権限管理、ログ取得及びログ管理、暗号化及び電子署名、ソフトウェアの脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策等
    • ・・・
各仕様書の妥当性評価
  • 各仕様書の記述内容

    • (サービス要件定義書、システム化要件定義書、調達仕様書、開発段階での仕様書、作業指示書、、)
    • 曖昧性・不確実性の排除
    • プロセスと成果物の具体化度を明確にしないで、成果物名のみの提示は齟齬が生じる
    • 「柔軟に対応できること?」は、工数が見積もれない
    • 読むべき人が理解できるか?
    • その仕様書をインプットとして、難易度の認識、妥当な工数見積もりができるかを評価
    • 方法としての選択肢は可
    • コストが高くても将来性、柔軟性のある方法
    • コストが安いが、当面の課題は解決で
  • 参考見積書の評価

    • 曖昧な仕様書では安全係数が大きくなり、高額な見積もりになる
    • 業者の高額な参考見積もりを鵜呑みにして安易な要件緩和やスペックダウンはしない
    • 提案もしくは指示した実施方法が明確な場合は、具体的な作業と要する工数を評価する
    • ある程度の実地の経験は必要
    • 競争入札になれば、適正な価格に近づく。随意契約の場合は、妥当と思われるまで調整する必要がある
    • 「単価が高いから見積もりが高くなる」という評価は正しくない
開発タスクと作成ドキュメント
  • ★政府標準ガイドラインに沿った開発タスクとドキュメント、ドキュメントに記載されるべき項目
  • 企画段階
  • 予算要求~調達準備
  • 提案要求~契約
  • 設計・開発~本番移行
  • 運用開始~保守
  • システム監査
調達方式の決定の判断、調達方式の違いによる仕様書の精緻度
  • ◇請負業務
  • 公募
  • 一般競争入札
    • 最低価格落札方式
    • 基本は、一般競争入札(最低価格落札方式)
    • ・仕様書の解釈により、実施内容にブレがでない詳細な仕様提示が必要
    • ・予定価格の妥当性の評価は必要だが、業者見積もりの妥当性は評価する能力は求められない
    • 総合評価落札方式
    • ・提案者の創意工夫の余地を残し、提案内容の優劣を技術点で評価する
  • 企画競争
    • ・具体的な実装方式を特定せず、提案者の創意工夫の内容の優劣で評価する
    • ・業者を選定後は、随意契約として扱われる
  • 随意契約
    • ・業者の言いなりにならないようにすることが肝要
    • 実施内容と業者見積もり額の妥当性を精緻に評価する能力が必要
  • ◇委任契約
情報システム関連仕様書・契約書

アジャイル開発モデルでの進め方と留意点

  • 留意点

    • 技術的実現性やビジネスの成否が不確実な状況において、全体の要件を確定することは困難。
    • 小さな単位で実装とテストを繰り返して、運用時の技術的評価結果や顧客の反応に基づいて、素早く改善を繰り返して完成させていく(以前の表現では、プロトタイピング手法、スパイラス手法に近い)
    • アジャイル開発では、全体の仕様を確定させて調達する請負業務契約をそのまま適用と、中間成果物、最終成果物の完成度に対する評価等に齟齬が生じる可能性が高い。⇒準委任契約が妥当
    • ウォータフォールモデルを参考に、アジャイル開発の固有の概念を反映させる形にカスタマイズしていくこと効率的。
    • ※準委任契約の特徴
    • 請負契約は、あらかじめ内容が特定された成果物を予定したとおりに完成させることに対して対価を支払う
    • 準委任契約は、業務を受託したベンダ企業が、専門家としての注意義務を果たしながら業務を遂行することそれ自体に対価を支払う
    • アジャイルの手法は、ソフトウェア開発に限らず、IT環境、セキュリティ環境構築にも有効な手段。また、このような業務が外注するより、組織内に人材を確保して、できるだげ内製化できる方向で進めることが、ビジネスの発展を見込める
  • 【参照資料】

  • 【要約資料】

政府標準ガイドラインに沿った開発タスクと必要なスキル・知識の選択的習得

インシデント対応マニュアル

IT部門と事業部門の連携による顧客課題の解決

  • 事業部門の参画

7.6 物理的対策

7.7 セキュリティ対策状況の有効性評価

  • 内部点検
    • 当事者による検査
  • 内部監査
    • 組織内の当事者以外の者による検査
    • 自社のルールや文書が要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすること
    • ドキュメント:1)内部監査計画 2)内部監査チェックリスト 3)内部監査報告書 等
  • 外部監査
    • 組織外の者による検査
  • 第三者認証

8.全体総括

全体のポイントの振り返り

今後の方向性

Annex-1 関係法規、各種規程、フレームワーク等の紹介

関係法規

各種規程

セキュリティ関係フレームワーク

  • ISMS
  • CPSF

Annex-2 用語解説

  • SD-WAN
  • FIDO
  • SASE
  • ...

Annex-3 参考にすべき文献・Webサイトリスト

国等の施策・計画文書・白書・解説書

基本文書(法律・基本計画・各種方針等)
各種白書・年次報告書類
システム管理・監査関連の基準
情報セキュリティ関連フレームワーク及び規格類

サイバーセキュリティ対策関連ガイドライン

組織的・人的対策全般

働き方改革関連
プライバシーガバナンス-個人情報保護-関連
事業継続計画関連

技術的対策全般

DX、DX with Security関連
IoT、ビッグデータ、ロボット、AI、5G関連
DX及びセキュリティ人材育成
サービス企画・設計
システム開発・運用
インシデント対応関連

手元に置いておきたい書籍、電子書籍

網羅的な情報の中から素早く見つけるためポータルサイト

本ページでの主な参考資料・文献名(発行元別)

  • | 発行元 | 資料・文献名 |
  • | :---- | :---- |
  • | 東京都 | 中小企業向けサイバーセキュリティ対策の極意(冊子及びサイトでの追補ページ)セキュリティ関連知識の保管庫(ナレッジベース) |
  • | 内閣サイバーセキュリティセンター(NISC) | サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ2022、関係法令Q&Aハンドブック、小さな中小企業とNPO向け情報セキュリティハンドブック, インターネットの安全・安心ハンドブック |
  • | 内閣府 | 経済財政運営と改革の基本方針、デジタル社会形成基本法、Society5.0 |
  • | デジタル庁 | デジタル・ガバメント実行計画、政府情報システムにおけるゼロトラストの運用の取り組み |
  • | 総務省 | 情報通信白書、DX時代における企業のプライバシーガバナンスガイドブック、中小企業等担当者向けテレワークセキュリティの手引き |
  • | 文部科学省 | 科学技術・イノベーション白書 |
  • | 経済産業省 | サイバーセキュリティ経営ガイドライン、情報セキュリティ管理基準、CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)、産業界におけるデジタルトランスフォーメーションの推進、デジタル産業の創出に受けた研究会の報告書『DXレポート2.1(DXレポート追補版)』 |
  • | 独立行政法人 情報処理推進機構(IPA) | DX白書、AI白書、情報セキュリティ白書、中小企業の情報セキュリティ対策ガイドライン、情報セキュリティ10大脅威、情報処理技術者試験シラバス、改正民法に対応した「情報システム・モデル取引・契約書」、デジタルスキル標準(DXリテラシー標準、DX推進スキル標準)iコンピテンシディクショナリ(iCD2022)セキュリティ関連費用の可視化 |
  • | 個人情報保護委員会 | GDPR(一般データ保護規則)関連資料、改正個人情報保護法について |
  • | 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) | インシデントハンドリングマニュアル、CSIRT⼈材の育成|
  • | 日本情報経済社会推進協会(JIPDEC) | ISMS適合性評価制度関連資料、改正個人情報保護法の実務対応ポイント |
  • | ISO規格、JIS規格 | ISMS(ISO/IEC27001,27002:2022、JISQ27001,27002) |
  • | 米国国立標準技術研究所(NIST) | セキュリティ関連NIST文書 |

備考

改版履歴

  • 2023年1月30日 随時改訂中
  • 2023年1月23日 iコンピテンシディクショナリ(iCD2022)を追加
  • 2023年1月4日 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準(DSS)】を追加
  • 2022年11月22日 知識の保管庫(ナレッジベース)Ver.2.0として、「極意」の続編と位置づけ、フレームワークに準拠した体系的なセキュリティ対策の教則本の目次としてリニューアル。
  • 2022年7月11日 「サイバーセキュリティ2022(2021年度年次報告・2022年度年次計画)」のポイント要約を追加
  • 2022年6月25日 各ドキュメントのMindMap版を追加
  • 2022年2月17日 「東京都デジタル人材確保・育成基本方針」の要約を追加
  • 2022年2月8日 セキュリティ対策を確実にするための⼈材育成の事業紹介を追加
  • 2022年1月28日 補足・コラム、個人情報保護関連を追加
  • 2022年1月20日 NIST関連、デジタル社会の実現に向けた改革関連を追加
  • 2022年1月18日 ISO/IEC 27002、個人情報保護法の改正関連を追加
  • 2022年1月11日 ITSS+関連を追加
  • 2021年12月27日 「サイバーセキュリティ戦略(NISC)」の要約等を追加
  • 2021年10月7日 試験公開を開始
『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク

ページトップへ