受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
7-1. 対策基準の策定
| 章の目的 |
| 第7章では、ISMS認証を前提としたセキュリティ対策における基準を3段階にレベル分けし、各基準の手法について理解することを目的とします。 |
| 主な達成目標 |
| ⚫︎ セキュリティ対策における複数のアプローチ方法と、それぞれのアプローチ手法の特徴について理解すること
⚫︎ 各アプローチ手法について理解し、どのアプローチ手法を実施するべきか選択できるようになること |
| 主なキーワード
セキュリティ対策基準、Lv.1クイックアプローチ、Lv.2ベースラインアプローチ、Lv.3網羅的アプローチ |
7章の全体概要
7章では、セキュリティポリシーの構成(「基本方針」「対策基準」「実施手順・運用規則など」)と、企業が現在の状況や目標に合わせた「対策基準」を策定する際に活用できる、レベル感の異なる3つのアプローチ手法(Lv.1クイックアプローチ、Lv.2ベースラインアプローチ、Lv.3網羅的アプローチ)を説明しています。
7-1. 対策基準の策定
セキュリティ対策基準の概要
情報セキュリティポリシーは、「基本方針」「対策基準」「実施手順・運用規則など」で構成されます。「対策基準」を外部に公開することで、セキュリティ対策の実施を内外に示し、説明責任を果たせます。対策基準の内容を定める際は、網羅的なフレームワークを参考にすることが推奨されます。
図115. 情報セキュリティポリシーの全体像
対策基準策定のアプローチ方法
対策基準を作成するアプローチ方法には、レベル感の異なる3つの手法(Lv.1クイックアプローチ、Lv.2ベースラインアプローチ、Lv.3網羅的アプローチ)があります。
| アプローチ手法 | 特徴 | 想定される適用ケース |
| Lv.1クイックアプローチ | 即時の対応や緊急事態への対処に適したアプローチ手法。
低コスト、短期間で実施可能。包括的ではないが即効性がある。 |
自社で発生する可能性が高い、または、発生したときの被害が大きいと考えられるインシデントに対して暫定的対策を行う場合。 |
| Lv.2ベースラインアプローチ | 組織全体での一貫性を確保し、セキュリティの最低基準を満たすことを目指すアプローチ手法。
ガイドラインやひな型を参考とし、対策基準を策定。 規制遵守の観点から一定の安全性が確保できる。 コストパフォーマンスがよい。 |
組織的に一定以上の対策基準を策定する場合。
包括的な対策は過剰で、基本的な水準の対策が適切だと判断される場合。 |
| Lv.3網羅的アプローチ | 脅威や攻撃手法に対して、網羅的なセキュリティ対策を講じることを目指すアプローチ手法。
ISMS認証取得が可能なレベルを目指して、対策基準を策定。 コストが高くなる可能性があるが、組織のニーズに合わせた最適な対策が可能。 |
ISMSのフレームワークに沿った対策基準を策定する場合。
情報システムが重要な組織や機密性の高い情報を扱う組織など、高い水準の情報セキュリティが求められる場合。 |
章を通した気づき・学び
「基本方針」「対策基準」「実施手順・運用規則など」で構成されるセキュリティポリシーを策定し、セキュリティ対策の実施を内外に示すため、基本方針と対策基準を公開します。同時に、状況に応じて適切なサイバーセキュリティ対策のアプローチ手法を選択し、セキュリティ対策を実施する必要があります。
| 認識していただきたい実施概要 |
| ⚫︎ 対策基準を外部に公開することで、セキュリティ対策の実施を内外に示し、説明責任を果たせること。
⚫︎ 対策基準で記載する内容を具体的に実施するために、策定した対策基準に従って実施手順を作成することが重要であること。 ⚫︎ 対策基準の内容を定める際は、企業の現状や目標に応じてフレームワークを使用せずに「Lv.1クイックアプローチ」「Lv.2ベースラインアプローチ」を用いて策定できるが、網羅的なフレームワークであるISMSを参考に策定する「Lv.3網羅的アプローチ」が推奨されること。 |
| 詳細理解のため参考となる文献(参考文献) | |
| 情報セキュリティ10大脅威 2025 | https://www.ipa.go.jp/security/10threats/10threats2025.html |
| サイバー攻撃対応事例 | https://security-portal.cyber.go.jp/dx/provinatack.html |
| マルウェア「ランサムウェア」の脅威と対策(対策編) | https://www.keishicho.metro.tokyo.lg.jp/kurashi/cyber/joho/ransomware_taisaku.html |
| リスク分析シート | https://www.ipa.go.jp/security/sme/f55m8k0000001wd3-att/000055518.xlsx |
| 中小企業の情報セキュリティ対策ガイドライン第3.1版 | https://www.ipa.go.jp/security/guide/sme/about.html |
| 情報セキュリティ関連規程(サンプル) | https://www.ipa.go.jp/security/sme/ps6vr7000001bu8m-att/000055794.docx |
| 自己点検チェックリスト | https://www.ppc.go.jp/files/pdf/Self_assessment_checklist.pdf |
| 情報セキュリティポリシーサンプル改版(1.0版) | https://www.jnsa.org/result/2016/policy/ |