受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
11-1. セキュリティフレームワークの概要
11-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022, 27002:2022]
11-3. NIST サイバーセキュリティフレームワーク(CSF)
11-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
11-5. サイバーセキュリティ経営ガイドライン
| 章の目的 |
| 第11章では、ISMSをはじめとしたサイバーセキュリティ対策における代表的なフレームワークを理解し、それぞれの内容について知識を身につけることを目的とします。 |
| 主な達成目標 |
| ⚫︎ サイバーセキュリティ対策においてフレームワークを活用することの重要性について理解すること
⚫︎ 各フレームワークの目的や必要性などの特徴について理解すること |
| 主なキーワード
セキュリティフレームワーク、ISMS、CSF2.0、CPSF、サイバーセキュリティ経営ガイドライン |
11章の全体概要
11章では、セキュリティ対策に関連するフレームワークの特徴や概要、各フレームワークの要素や要件について解説しています。セキュリティ対策は、やみくもに進めてしまうとかえって複雑になってしまい、余計に手間がかかり、内容に抜け漏れが発生する可能性があります。漏れのない対策を効率的に実施するためには、セキュリティフレームワークを活用することが最もよい方法です。
11-1. セキュリティフレームワークの概要
次のセキュリティフレームワークの概要、利用メリットについて説明しています。
● ISMS(情報セキュリティマネジメントシステム)ISO/IEC27001:2022、ISO/IEC 27002:2022
● ISO/IEC 27017:2015
● サイバーセキュリティフレームワーク(CSF)2.0
● サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)Ver.1.0
● サイバーセキュリティ経営ガイドライン Ver3.0
● PCI DSS(国際的なクレジット産業向けのデータセキュリティ基準)v4.0.1
● 個人情報保護マネジメントシステム(PMS)JIS Q 15001:2023 準拠 Ver1.0
● CIS Controls version 8.1
● ISAIEC 62443
11-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022, 27002:2022]
ISMSは、情報セキュリティ管理のための体系的な仕組みであり、技術的対策だけでなく、従業員の教育や訓練、組織体制の整備などが含まれています。ISMSは、セキュリティフレームワークの中でも代表的なものです。ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性および可用性をバランスよく維持・改善し、リスクの適切な管理を実現し、信頼を利害関係者に与えることです。
11-3. NIST サイバーセキュリティフレームワーク(CSF)
CSFは、NISTが作成したサイバー攻撃対策に重点を置いたフレームワークであり、防御に留まらず、検知・対応・復旧といったインシデント対応を含んでいます。CSF2.0は、中小企業を含むあらゆる組織で利用されるよう設計されています。CSF2.0はISMSを補完し、組織のセキュリティ対策を強化するための有用なツールとなるので、ISMSをベースにして、必要に応じてCSFを取り込むとよいでしょう。
11-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
CPSFは、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークです。CPSFの主な目的は、新たな産業社会におけるバリュークリエイションプロセス全体の理解、リスク源の明確化、必要なセキュリティ対策全体像の整理を行うことです。従来のサプライチェーンに適用可能なセキュリティ対策に加えて、新たな産業社会の変化から生じる特有の対策も含まれています。
11-5. サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが共同で発行しているガイドラインで、企業がサイバーセキュリティを効果的に経営に取り入れるための指針を提供します。経営者が認識するべき3原則、サイバーセキュリティ経営の重要10項目など内容を含んでおり、経営者、情報セキュリティ対策の責任者(CISOなど)の立場から、セキュリティ対策を実践する際の役割、認識するべきことがまとめられています。このガイドラインは、企業がサイバーセキュリティを経営の一部として位置づけ、組織全体でセキュリティ意識を高めるための基盤として活用できます。
章を通した気づき・学び
セキュリティ対策を漏れなく効果的に実施するためには、セキュリティフレームワークを使用することが有効です。さまざまなセキュリティフレームワークがある中、自社の課題や目的に即したものを選択することが大切です。
| 認識していただきたい実施概要 |
| ⚫︎ 効果的なセキュリティ対策の実施や、取引先や顧客からの信頼を向上させるためには、フレームワークに沿って対策を進めることが有効であること。
⚫︎ セキュリティ対策を行うためのフレームワークは複数存在するが、まずは業種業態を問わずセキュリティ対策の全体の枠組みと、網羅的な対策項目を提示しているISMSをベースとし、必要に応じて業種業態や重点領域ごとに特に注力すべき内容が詳細化されている各種フレームワークで補完することが有効であること。 |
| 詳細理解のため参考となる文献(参考文献) | |
| ISMS-AC ISMS適合性評価制度 | https://isms.jp/doc/JIP-ISMS120-62.pdf |
| The NIST Cybersecurity Framework (CSF) 2.0 | https://nvlpubs.nist.gov/nistpubs/CSWP/NIST.CSWP.29.pdf |
| サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)の概要 | https://www.meti.go.jp/policy/netsecurity/wg1/cpsf_ver1.o_gaiyou.pdf |
| サイバーセキュリティ経営ガイドライン Ver3.0 | https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf |