11-1. セキュリティフレームワークの概要
11-1-1. セキュリティフレームワークの役割と重要性
セキュリティフレームワークの概要およびその利用メリットについて説明します。
セキュリティフレームワークとは
セキュリティ対策を行うために定義された指針やセキュリティ対策基準、ガイドライン、ベストプラクティス集のことを指します。自社におけるセキュリティリスクを評価・管理し、適切なセキュリティ対策を計画、実装、管理するための基盤となります。
代表的なセキュリティフレームワーク
ISMS(情報セキュリティマネジメントシステム)
ISO/IEC27001:2022、ISO/IEC 27002:2022 ▶ 網羅的なセキュリティフレームワーク
ISO/IEC27001:2022、ISO/IEC 27002:2022 ▶ 網羅的なセキュリティフレームワーク
ISO/IEC 27017:2015
▶ クラウドサービス
サイバーセキュリティフレームワーク(CSF)2.0
▶ 幅広い組織向け
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)Ver.1.0
▶ Society 5.0における産業社会
サイバーセキュリティ経営ガイドライン Ver3.0
▶ 経営者を中心としたセキュリティ対策
PCI DSS(国際的なクレジット産業向けのデータセキュリティ基準)v4.0.1
▶ クレジットカード産業
個人情報保護マネジメントシステム(PMS)
JIS Q 15001:2023 準拠 ver1.0 ▶ 個人情報保護
JIS Q 15001:2023 準拠 ver1.0 ▶ 個人情報保護
CIS Controls version 8.1
▶ 具体的なサイバー攻撃アプローチ
ISA/IEC 62443
▶ 産業オートメーションおよび制御システム
11-1-2. フレームワーク選択の重要性
ISMS(情報セキュリティマネジメントシステム)
ISO/IEC27001:2022、ISO/IEC 27002:2022
ISO/IEC27001:2022、ISO/IEC 27002:2022
▶ 網羅的なセキュリティフレームワーク
発行元:ISO/IEC 情報の機密性、完全性、可用性を保護するための体系的な仕組みであり、技術的対策に加えて、従業員の教育や訓練、組織体制の整備などが含まれています。必ずしも、組織全体で適用する必要はなく、組織の必要に応じて、適用範囲を決定できるという特徴があります。1
発行元:ISO/IEC 情報の機密性、完全性、可用性を保護するための体系的な仕組みであり、技術的対策に加えて、従業員の教育や訓練、組織体制の整備などが含まれています。必ずしも、組織全体で適用する必要はなく、組織の必要に応じて、適用範囲を決定できるという特徴があります。1
1 ISMS-AC.”ISMS適合性評価制度”. https://isms.jp/doc/JIP-ISMS120-62.pdf
ISO/IEC 27017:2015
▶ クラウドサービス
発行元:ISO/IEC クラウドサービスに関する情報セキュリティ対策を実施するためのガイドライン規格で、ISO/IEC27002をベースに作成されています。この規格は、クラウドサービスの提供者とクラウドサービスの利用者の両方を対象としています。クラウドサービスに関するリスクの低減や、クラウドサービスを適切に利用する組織体制を確立できます。
また、情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取組をISO/IEC 27017で強化することによって、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
発行元:ISO/IEC クラウドサービスに関する情報セキュリティ対策を実施するためのガイドライン規格で、ISO/IEC27002をベースに作成されています。この規格は、クラウドサービスの提供者とクラウドサービスの利用者の両方を対象としています。クラウドサービスに関するリスクの低減や、クラウドサービスを適切に利用する組織体制を確立できます。
また、情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取組をISO/IEC 27017で強化することによって、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
サイバーセキュリティフレームワーク(CSF)2.0
▶ 幅広い組織向け
発行元:NIST CSFは、組織がサイバーセキュリティリスクを管理する際の指針を提供するものです。CSFは、組織の規模や業界を問わず(産業界、学術界、政府および非営利組織を含む)組織におけるサイバーセキュリティリスクの管理と低減に役立つよう設計されています。
CSFの下位概念に位置づけられているのがSP800シリーズ(SP 800-53/SP 800-171/SP 800-161など)となります。
CSF2.0、SP800シリーズの内容については後述します。
発行元:NIST CSFは、組織がサイバーセキュリティリスクを管理する際の指針を提供するものです。CSFは、組織の規模や業界を問わず(産業界、学術界、政府および非営利組織を含む)組織におけるサイバーセキュリティリスクの管理と低減に役立つよう設計されています。
CSFの下位概念に位置づけられているのがSP800シリーズ(SP 800-53/SP 800-171/SP 800-161など)となります。
CSF2.0、SP800シリーズの内容については後述します。
▶ Society 5.0における産業社会
発行元:経済産業省 ISMS、CSFの概念を包含したフレームワークであり、サイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理しています。
Society5.0を意識したセキュリティリスクとその対策方法について記述されている特徴があります。
リスク源を適切に捉えるために産業社会を3層構造と6つの構成要素で捉えており、産業界が自らのセキュリティ対策に活用できるよう、対策例がまとめられています。
発行元:経済産業省 ISMS、CSFの概念を包含したフレームワークであり、サイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理しています。
Society5.0を意識したセキュリティリスクとその対策方法について記述されている特徴があります。
リスク源を適切に捉えるために産業社会を3層構造と6つの構成要素で捉えており、産業界が自らのセキュリティ対策に活用できるよう、対策例がまとめられています。
サイバーセキュリティ経営ガイドライン Ver3.0
▶ 経営者を中心としたセキュリティ対策
発行元:経済産業省/独立行政法人情報処理推進機構(IPA) サイバー攻撃の多様化・巧妙化に伴い、サイバー攻撃から企業を守るために必要なことをまとめたガイドラインです。 ISMSのフレームワークがベースとなっており、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある3原則と、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき重要10項目をまとめているという特徴があります。2
サイバー攻撃から企業を守る観点で、“サイバーセキュリティは経営問題”と定義し、経営者を中心とした組織的な対策の見直し・強化を求めています。
発行元:経済産業省/独立行政法人情報処理推進機構(IPA) サイバー攻撃の多様化・巧妙化に伴い、サイバー攻撃から企業を守るために必要なことをまとめたガイドラインです。 ISMSのフレームワークがベースとなっており、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある3原則と、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき重要10項目をまとめているという特徴があります。2
サイバー攻撃から企業を守る観点で、“サイバーセキュリティは経営問題”と定義し、経営者を中心とした組織的な対策の見直し・強化を求めています。
PCI DSS(国際的なクレジット産業向けのデータセキュリティ基準)v4.0.1
▶ クレジットカード産業
発行元:PCI SSC クレジットカード情報を取扱うすべての事業者に対して国際カードブランド5社が共同で策定した、クレジットカードの取扱いにおけるセキュリティの国際基準です(Payment Card Industry Data Security Standard の略)。3
カード会員情報を適切に管理するため、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
発行元:PCI SSC クレジットカード情報を取扱うすべての事業者に対して国際カードブランド5社が共同で策定した、クレジットカードの取扱いにおけるセキュリティの国際基準です(Payment Card Industry Data Security Standard の略)。3
カード会員情報を適切に管理するため、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
個人情報保護マネジメントシステム(PMS)JIS Q 15001:2023 準拠 Ver.1.0
▶ 個人情報保護
発行元:JIPDEC 組織が業務上取扱う個人情報を安全で適切に管理するための仕組みです。JIS Q 15001によって要求事項が定められています。この規格は、事業者が個人情報を適切に取扱う方法を規定したもので、プライバシーの保護を直接の目的とはしていません。しかし、意図しない個人情報の取扱いが抑制されることにより、結果的にプライバシーも保護されます。4
個人情報保護マネジメントシステム(PMS)の基本的な仕組みは、個人情報保護方針を定め、この方針に基づき「PDCAサイクル」を実行することになります。
発行元:JIPDEC 組織が業務上取扱う個人情報を安全で適切に管理するための仕組みです。JIS Q 15001によって要求事項が定められています。この規格は、事業者が個人情報を適切に取扱う方法を規定したもので、プライバシーの保護を直接の目的とはしていません。しかし、意図しない個人情報の取扱いが抑制されることにより、結果的にプライバシーも保護されます。4
個人情報保護マネジメントシステム(PMS)の基本的な仕組みは、個人情報保護方針を定め、この方針に基づき「PDCAサイクル」を実行することになります。
CIS Controls version 8.1
▶ 具体的なサイバー攻撃アプローチ
発行元:CIS サイバー攻撃の現状と傾向を踏まえて、組織が実施すべきサイバーセキュリティ対策とその優先順位を決めるためのフレームワークで、あらゆる企業が取るべき最も基本的で重要な対応に重点を置いています。ネットワークの詳細設定や、ログの管理など、具体的で技術的な対策が中心となっている特徴があります。
多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークとなります。
発行元:CIS サイバー攻撃の現状と傾向を踏まえて、組織が実施すべきサイバーセキュリティ対策とその優先順位を決めるためのフレームワークで、あらゆる企業が取るべき最も基本的で重要な対応に重点を置いています。ネットワークの詳細設定や、ログの管理など、具体的で技術的な対策が中心となっている特徴があります。
多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークとなります。
ISA/IEC 62443
▶ 産業オートメーションおよび制御システム
発行元:ISA/IEC 産業用自動制御システム(Industrial Automation and Control Systems)に対するセキュリティ対策とプロセス要件を定めた一連の国際標準規格です。ISO/IEC 27001などではカバーしきれない、工場やプラントにおける制御システムのセキュリティを網羅的に対象としています。また、セキュリティ確保の対象は、ソフトウェア・ハードウェアを含む制御関連のデータ処理基盤であるシステムに加えて、システムの運用に関わる「人」と「業務」も対象となっている特徴があります。
発行元:ISA/IEC 産業用自動制御システム(Industrial Automation and Control Systems)に対するセキュリティ対策とプロセス要件を定めた一連の国際標準規格です。ISO/IEC 27001などではカバーしきれない、工場やプラントにおける制御システムのセキュリティを網羅的に対象としています。また、セキュリティ確保の対象は、ソフトウェア・ハードウェアを含む制御関連のデータ処理基盤であるシステムに加えて、システムの運用に関わる「人」と「業務」も対象となっている特徴があります。
2 経済産業省.”サイバーセキュリティ経営ガイドラインと支援ツール”. https://www.meti.go.jp/policy/netsecurity/mng_guide.html
3 経済産業省.”クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性”. https://www.meti.go.jp/policy/economy/consumer/credit/2022060221001.pdf
4 JIPDEC.”「個人情報」と「プライバシー」の違い”. https://privacymark.jp/system/course/theme1/03.html
