26-1. サイバーレジリエンスの定義と情報セキュリティ戦略上の位置づけ

26-2. ISO/IEC 27002:2022に基づく情報セキュリティインシデント管理策

26-3. サイバーレジリエンス戦略としてのNIST CSF 2.0フレームワーク

26-4. サイバーレジリエンス能力の育成に向けた体系項立て

 

章の目的

第26章では、中小企業におけるサイバーレジリエンスの必要性とその定義を理解し、ISO/IEC 27001/27002やNIST CSF 2.0との関係を把握することで、自組織の情報セキュリティ戦略やIT-BCPと統合したレジリエンスを段階的に構築するための基礎を身につけることを目的とします。

主な達成目標

⚫︎ サイバーレジリエンスの概念と、防御だけでなく回復・適応を重視する戦略的必要性を理解すること ⚫︎ ISO/IEC 27001/27002およびISMSのPDCAとの関連を踏まえ、可用性維持と継続的改善がレジリエンスの基盤であることを説明できること ⚫︎ NIST CSF 2.0の6機能、とくにRespond／Recoverの重要性を理解し、中小企業向けの段階的導入方法を整理できること ⚫︎ サイバーレジリエンスライフサイクル（準備・防御・検知・対応・復旧・改善）を体系的に把握し、自社の取り組みへ適用できること

 

主なキーワード サイバーレジリエンス、可用性、ISO/IEC 27001/27002、NIST CSF 2.0、Respond、Recover

 

要旨

26章の全体概要

26章では、中小企業におけるサイバーレジリエンスの必要性を整理し、その定義と情報セキュリティ戦略上の位置づけについて解説しています。

従来の「侵入を防ぐこと」を中心としたサイバーセキュリティ対策に加え、インシデントの発生を前提として、迅速な対応・復旧・改善を含めた事業継続能力の確保が重要であることを示しています。

 

章の前半では、サイバーレジリエンスの基本概念を整理し、ISO/IEC 27001/27002（ISMS）における可用性および継続的改善との関係を解説しています。

章の後半では、NIST Cybersecurity Framework（CSF）2.0をサイバーレジリエンス戦略の枠組みとして位置づけ、特にRespondおよびRecover機能を中心とした体系的な考え方と、中小企業における段階的な能力育成の考え方を整理しています。

 

26-1. サイバーレジリエンスの定義と情報セキュリティ戦略上の位置づけ

サイバーレジリエンスを、サイバー攻撃やシステム障害などの事態が発生した場合でも、影響を最小限に抑え、迅速に回復し、事業を継続するための能力として定義しています。

ISO/IEC 27001における情報セキュリティの三要素のうち、特に可用性の維持と、PDCAサイクルによる継続的改善が、サイバーレジリエンスの基盤となることを示しています。

 

26-2. ISO/IEC 27002:2022に基づく情報セキュリティインシデント管理策

ISO/IEC 27002に基づく管理策を、事前準備、対応、回復、学習・改善の観点から整理し、サイバーレジリエンス能力を構成する具体的な要素として解説しています。

情報資産管理、バックアップ、インシデント対応体制、復旧計画および教訓の反映といった管理策が、組織の回復力を高めるために重要であることを示しています。

 

26-3. サイバーレジリエンス戦略としてのNIST CSF 2.0フレームワーク

NIST CSF 2.0を、サイバーレジリエンス戦略を体系的に整理するための枠組みとして位置づけています。

6つの機能（Govern、Identify、Protect、Detect、Respond、Recover）のうち、特にRespondおよびRecover機能が、インシデント発生後の対応力と事業復旧能力の中核であることを解説しています。

また、Govern機能を通じて、サイバーレジリエンスが経営レベルのリスク管理として位置づけられる必要性を示しています。

 

26-4. サイバーレジリエンス能力の育成に向けた体系項立て

サイバーレジリエンスを、防御から復旧、改善に至るライフサイクルとして捉え、NIST CSF 2.0の機能と既存のハンドブック記載内容を統合した体系を整理しています。

中小企業においては、限られたリソースの中で段階的に取り組むことが重要であり、成熟度に応じた育成モデルを用いることで、現実的な能力向上が可能であることを示しています。

 

 

訴求ポイント

章を通した気づき・学び

サイバー攻撃やシステム障害を完全に防ぐことは困難であるという前提に立ち、迅速な対応と回復を含めたサイバーレジリエンスの確保が、事業継続と経営リスク低減に不可欠であることを理解することが重要です。

特に中小企業においては、ISO/IEC 27001/27002やNIST CSF 2.0といった公的枠組みを活用し、段階的に能力を高めていくことが現実的なアプローチとなります。

 

 

認識していただきたい実施概要

⚫︎ISO/IEC 27001/27002およびNIST CSF 2.0といった公的に整理されたフレームワークを活用し、防御だけでなく対応・復旧・改善を含めたサイバーレジリエンスを情報セキュリティ戦略に組み込むこと。 ⚫︎中小企業の実情に応じて、段階的な導入と優先順位付けを行い、事業継続力の向上を図ること。

 

詳細理解のため参考となる文献（参考文献）
経済産業省「サイバーセキュリティ経営ガイドライン Ver.3.0」	https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf
IPA「中小企業の情報セキュリティ対策ガイドライン（第3.1版）」	https://www.ipa.go.jp/security/guide/sme/about.html
総務省「テレワークセキュリティガイドライン（第5版）	https://www.soumu.go.jp/main_content/000752925.pdf
IPA サイバーレジリエンスのためのコミュニケーション ～セキュリティ担当者に必要なコミュニケーションスキル集～	https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k00000070u7-att/f55m8k000000710q.pdf
NIST Cybersecurity Framework (CSF) 2.0（2024）	https://www.ipa.go.jp/security/reports/oversea/nist/ug65p90000019cp4-att/begoj9000000d400.pdf
JISC「JIS Q 27000：情報セキュリティマネジメントシステム－用語」	https://kikakurui.com/q/Q27000-2019-01.html
デジタル庁「デジタル・ガバメント推進標準ガイドライン（2025年5月）」	https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/d4e68a9b/20250619_resources_standard_guidelines_guideline_01.pdf