本テキストでは、「DX推進の必要性からセキュリティ対策の実施手順を策定する」ところまでを解説しました。この章では、本テキストの内容を実践するにあたって行うべき事項を列挙し、その概要を説明します。

 

本テキストの内容を実践するために行うべき事項

⚫︎  テキストに記載された各章の理解を深め、重要なポイントを経営者も含めた関係者と共有すること

⚫︎  経営者のリーダーシップによって社内体制を整備すること

⚫︎  整備した社内体制において順次具体的なアクションを実践すること

 

テキストに記載された各章の理解を深め、重要なポイントを経営者も含めた関係者と共有すること

 

各章のポイントの理解

⚫︎  テキストに記載された「セキュリティを考える上で必要となる社会情勢、国の施策に関する情報」、「セキュリティ対策を検討する上で必要となるセキュリティ知識」、「セキュリティ対策を実施するための具体的な手法」を再認識し、理解を深めること

 

DX推進の考え方の把握

⚫︎  社会情勢、国の施策からDX推進の方向性を知ること

中小企業においてもDX推進が不可欠です。

⚫︎  自組織におけるDX推進のための人材育成の必要性を認識すること

DXを推進する人材（DX推進スキル標準で示されたスキルを有する人材）や、DXを有効に利用できる人材（DXリテラシー標準で示されたスキルを有する人材（※プラス・セキュリティを含む））の確保が必要です。

⚫︎  自組織におけるDX推進の計画を立案し実施内容を策定すること

DX推進にあたってはDX with Security（DXの推進にあたり、セキュリティ対策を十分に考慮する）を意識することが重要です。

IT構築にあたってはSecurity by Design（設計段階からのセキュリティ対策を考慮する）を意識するとともに「デジタル・ガバメント推進標準ガイドライン」を参考にすることが重要です。

「デジタル・ガバメント推進標準ガイドライン」は、中小企業でも活用できる重要なことが数多く記載されています。情報システムを導入する際に参考にすることで、セキュリティ対策を考慮した、効果的な情報システムの導入が可能になります。

 

セキュリティ対策の全容の認識

⚫︎  サイバーセキュリティの脅威に対処するためのアプローチ手法としては「1クイックアプローチ」「Lv.2ベースラインアプローチ」「Lv.3網羅的アプローチ」があり、それぞれメリット・デメリットがあること

例えば、ISMSなどのフレームワークを用いたLv.3網羅的アプローチは、時間とコストがかかるというデメリットがあるものの、漏れのない対策が可能であるというメリットがあります。

⚫︎  ISMSの仕組みや、管理策の全容を理解すること

 

自組織でのセキュリティ対策の実施項目の認識

⚫︎  自組織としての目標設定

自組織のリスクを、経営上および社会的に許容できる範囲まで低減させるセキュリティ対策を実践することが大切です。

①  リスクアセスメントによって自組織の現状のリスクを把握する。

②  リスクアセスメントの結果を踏まえ、管理策の中から自組織として実施すべき項目を選定する。

③  実施する管理策に関して、自組織としての実施手順を策定する。

 

経営者のリーダーシップによって社内体制を整備すること

 

管理策の実施について

セキュリティポリシー関連文書の整備

組織全体で情報セキュリティを管理・運用するための基盤となるドキュメント（基本方針、対策基準、実施手順など）を作成します。それらを整備することで、セキュリティ対策の指針を明確にし、全社員が一貫した行動を取ることを可能にします。

 

実施手順の実行準備

実施手順として策定した内容を実行するため、実行性のあるドキュメント（仕様書、運用マニュアルなど）を作成します。

 

実施手順の実行

実施手順の実行にあたり、セキュリティ担当者とその役割・責任を決める必要があります。セキュリティ担当者とその役割・責任が決まった後、年間計画を作成してそれを実行します。

 

①  組織体制と役割の決定

セキュリティ対策を実施するための組織体制、役割・責任を決めます。

※13-2-3. ISMS：5. リーダーシップ「5.3 組織の役割、責任及び権限」を参照。

 

②年間を通して実行すべき事項の例示

担当者がその役割・責任において次のような事項を実施します。これらの事項を実行するため、年間計画を作成します。

※13-2-6. ISMS：8. 運用「8.1 運用の計画及び管理」を参照。

年間計画（例）を紹介します。

 

 

情報システム導入の実行について

情報システムの導入にあたり、重要なポイントを紹介します。

Fit＆Gap分析

Fit&Gap分析は、SaaSやパッケージソフトウェアを導入する際に非常に重要なプロセスです。Fit&Gap分析によって、RFIなどの情報収集活動によって選定したSaaSやパッケージソフトウェアと、自社の業務要件との適合性を評価します。

 

Fit＆Gap分析の一般的な実施手順（例）

1. 現状分析
2. SaaS、パッケージソフトウェアの機能調査
3. 比較分析
4. ギャップへの対応策検討
5. 費用対効果の分析
6. 実施計画の策定

 

※「3.比較分析」はFit＆Gap分析の中核をなす重要なステップです。

 

非機能要件における、セキュリティ要件の決め方

セキュリティに関する要件の決定は、適用宣言書をもとにして行います。セキュリティ要件を決める流れは以下の通りです。

 

1. 情報システムで取扱う情報資産に対して、リスクアセスメントを実施する。
2. リスクアセスメントの結果をもとに、必要な管理策を決定する。（適用宣言書の作成）
3. 適用宣言書の内容を満たすように、セキュリティ要件を決定する。

 

※リスクアセスメントの実施方法の詳細については、「12-2.リスクマネジメント：リスクアセスメント」を参照してください。

 

※セキュリティ要件の決め方の詳細については、「21-1-2.要件定義」の「非機能要件の定義」における「情報セキュリティに関する事項」を参照してください。

 

確立した社内体制において順次具体的なアクションを実施すること

管理策を実施するための参考となる情報

組織の中で具体的にどのように実施手順の内容を実践していくか、その際に参考となる各種資料や、実務的な取組例を紹介します。

管理策を実施するための参考となる情報
ISO/IEC 27002:2022 対応　情報セキュリティ管理策実践ガイド	https://isms-society.stores.jp/items/632a57a42e7452256400d84b
ISMS推進マニュアル – 活用ガイドブック ISO/IEC 27001:2022 対応.3.0版	https://isms-society.stores.jp/items/6427f4b51d175c002b8ee1cd
JISC「JIS Q 27000 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語」	https://www.jisc.go.jp/app/jis/general/GnrJISNumberNameSearchList?show&jisStdNo=Q27000
ISO/IEC 27002:2022	https://www.iso.org/standard/75652.html

 

実施手順を具体的に実施していくための取組例

実施手順を具体的に実施していくための取組例を紹介します。

以下は、実施手順を実際の業務として実施していくにあたり、実施手順と主体となって取り組む必要がある担当者を対応付ける例です。

〇：主体となって取り組む必要がある。

図120. 実施手順とメインとなる担当者を対応付ける例

 

セキュリティ対策を考慮した情報システムを導入するために参考となる情報

セキュリティ対策を考慮した効果的な情報システムをどのように導入するか、その際に参考となる各種資料を紹介します。

 

セキュリティ対策を考慮した情報システムを導入するために参考となる情報
DS-100 デジタル・ガバメント推進標準ガイドライン	https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/d4e68a9b/20250619_resources_standard_guidelines_guideline_01.pdf
DS-120 デジタル・ガバメント推進標準ガイドライン実践ガイドブック	https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/ae9a37b7/20250619_resources_standard_guidelines_guideline_05.pdf
安全なウェブサイトの作り方	https://www.ipa.go.jp/security/vuln/websecurity/ug65p900000196e2-att/000017316.pdf
セキュリティ実装チェックリスト	https://www.ipa.go.jp/security/vuln/websecurity/ug65p900000196e2-att/000044403.xlsx
ECサイト構築・運用セキュリティガイドライン	https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf
情報セキュリティサービス基準適合サービスリスト	https://www.ipa.go.jp/security/service_list.html
脆弱性診断サービス	https://www.ipa.go.jp/security/ug65p90000019fc0-att/20251223_2.pdf
デジタルフォレンジックサービス	https://www.ipa.go.jp/security/ug65p90000019fc0-att/20251223_3.pdf
ウェブサイトの攻撃兆候検出ツール iLogScanner	https://www.ipa.go.jp/security/vuln/ilogscanner/index.html

 

継続的な情報収集

本テキストに記載の「①国の方針、社会の現状と今後の動向」、「②IT活用事例」、「③セキュリティインシデント事例」における内容は、日々更新されていきます。これらの情報を継続的に学ぶために参考となる文献を紹介します。

 

国の方針、社会の現状と今後の動向
デジタルガバナンス・コード	https://www.meti.go.jp/policy/it_policy/investment/dgc/dgc.html
経済財政運営と改革の基本方針2025について	https://www5.cao.go.jp/keizai-shimon/kaigi/cabinet/honebuto/2025/2025_basicpolicies_ja.pdf
デジタル社会の実現に向けた重点計画	https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/5ecac8cc-50f1-4168-b989-2bcaabffe870/cd4e0324/20250613_policies_priority_outline_03.pdf
Society5.0	https://www8.cao.go.jp/cstp/society5_0
サイバーセキュリティ2025の概要	https://www.cyber.go.jp/pdf/policy/kihon-s/cs2025_abstract.pdf
サイバーセキュリティ戦略2025	https://www.cyber.go.jp/pdf/policy/kihon-s/cs_strategy2025.pdf
IT活用事例
中堅・中小企業等向け デジタルガバナンス・コード 実践の手引き2.1	https://www.meti.go.jp/policy/it_policy/investment/dx-chushoguidebook/dxtebikihontai2.1.pdf
DX動向2025	https://www.ipa.go.jp/digital/chousa/dx-trend/tbl5kb0000001mn2-att/dx-trend-2025.pdf
攻めのIT活用指針	https://www.smrj.go.jp/supporter/tool/guidebook/guidebook1/fbrion000000206n-att/guide4youshiki_1.pdf
情報通信白書 令和7年版	https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r07/pdf/01hyoshi.pdf
製造分野のDX事例集	https://www.ipa.go.jp/digital/dx/mfg-dx/ug65p90000001kqv-att/000087633.pdf
「DX Selection 2025」選定企業レポート	https://www.meti.go.jp/policy/it_policy/investment/dx-chukenchushotebiki/dx-chukenchushotebiki_2025.pdf
セキュリティインシデント事例
情報セキュリティ白書2025	https://www.ipa.go.jp/publish/wp-security/2025.html
情報セキュリティ10大脅威 2025	https://www.ipa.go.jp/security/10threats/10threats2025.html
サイバー攻撃対応事例	https://security-portal.cyber.go.jp/dx/provinatack.html
サイバー攻撃を受けた組織における対応事例集 （実事例における学びと気づきに関する調査研究）	https://www.cyber.go.jp/policy/inquiry/index.html
コンピュータウイルス・不正アクセスの届出事例［2023年下半期（7月～12月）］	https://www.ipa.go.jp/security/todokede/crack-virus/ug65p9000000nnpa-att/2023-h2-jirei.pdf
令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について（警察庁）	https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf
2024年度 中小企業における情報セキュリティ対策に関する実態調査 -業種ごとの効果的な取組事例集-	https://www.ipa.go.jp/security/reports/sme/nl10bi000000fbw9-att/sme-kouka-jirei2024.pdf

 

人材育成

セキュリティに詳しくない人に加えて、既にセキュリティを担当している人も、新しい技術を学び、考え方を最新にしていくことが必要です。技術は常に進化しており、過去の対策や古い考え方では、最新のサイバー攻撃に対応することが難しいためです。また、AIや自動化などの新しい技術の導入が進んでいますが、これによって従来の仕事が変化し、新しいスキルが必要になります。中長期で見ればAIなどの新技術の普及によって、一部の職業は消滅し、新しい職業が生まれることになるでしょう。そうした変化の中で、個人が市場で競争力を維持するためには、リスキリングを通じて最新の技術や知識を習得し、変化に対応できる能力を高めることが不可欠です。リスキリングを成功させるためには、チェンジマインド（変革思考）を持つことが非常に重要です。考え方を柔軟に変え、具体的な目標を設定するとともに、信頼できる教材やカリキュラムを選んで、自分にあった学習方法を見つけることが、リスキリング成功の秘訣だといってよいでしょう。

 

今後のビジネス発展のためには、人材育成が不可欠となります。人材育成を実施するために参考となる文献を紹介します。

DSSに基づく人材育成
デジタルスキル標準Ver.1.2	https://www.ipa.go.jp/jinzai/skill-standard/dss/ps6vr700000083ki-att/000106872.pdf
プラス・セキュリティ人材の育成
「プラス・セキュリティ知識」について	https://security-portal.cyber.go.jp/dx/pdf/about_plussecurity.pdf
サイバーセキュリティ経営ガイドラインVer2.0付録Fサイバーセキュリティ体制構築・人材確保の手引き～ 変化するサイバーセキュリティリスクに対処するための組織の在り方と従事する人材の配置・役割分担 ～第2版	https://www.meti.go.jp/policy/netsecurity/tebikihontai2.pdf
ITスキル標準に基づく人材育成
ITスキル標準とは -ものさしとしてのスキル標準	https://www.ipa.go.jp/jinzai/skill-standard/plus-it-ui/itss/itss2.html
ITスキル標準モデルカリキュラム－レベル1を目指して－	https://www.ipa.go.jp/archive/jinzai/skill-standard/itss/qv6pgp000000buc8-att/000024802.pdf
その他
マナビDX	https://manabi-dx.ipa.go.jp
デジタル人材育成政策のご紹介	https://manabi-dx.ipa.go.jp/gov_assist
【ほぼ15秒アニメ】子ブタと学ぼう！情報セキュリティ対策のキホン	https://www.ipa.go.jp/security/anshin/measures/start.html