27-11. 第11章. セキュリティフレームワーク
11-1. セキュリティフレームワークの概要
11-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022,27002:2022]
11-3. NISTサイバーセキュリティフレームワーク(CSF)
11-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
11-5. サイバーセキュリティ経営ガイドライン
章の目的
要旨
11章の全体概要
11章では、セキュリティ対策に関連するフレームワークの特徴や概要、各フレームワークの要素や要件について解説しています。セキュリティ対策は、やみくもに進めてしまうとかえって複雑になってしまい、余計に手間がかかり、内容に抜け漏れが発⽣する可能性があります。漏れのない対策を効率的に実施するためには、セキュリティフレームワークを活用することが最もよい方法です。
11-1. セキュリティフレームワークの概要
次のセキュリティフレームワークの概要、利用メリットについて説明しています。
• ISMS(情報セキュリティマネジメントシステム)ISO/IEC27001:2022、ISO/IEC27002:2022
• ISO/IEC 27017:2015
• サイバーセキュリティフレームワーク(CSF)2.0
• サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)Ver.1.0
• サイバーセキュリティ経営ガイドライン Ver3.0
• PCI DSS(国際的なクレジット産業向けのデータセキュリティ基準)v4.0.1
• 個⼈情報保護マネジメントシステム(PMS)JIS Q 15001:2023 準拠 ver1.0
• CIS Controls version 8.1
• ISA/IEC 62443
11-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022,27002:2022]
ISMSは、情報セキュリティ管理のための体系的な仕組みであり、技術的対策だけでなく、従業員の教育や訓練、組織体制の整備などが含まれています。ISMSは、セキュリティフレームワークの中でも代表的なものです。ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性および可用性をバランスよく維持・改善し、リスクの適切な管理を実現し、信頼を利害関係者に与えることです。
11-3. NIST サイバーセキュリティフレームワーク(CSF)
CSFは、NISTが作成したサイバー攻撃対策に重点を置いたフレームワークであり、防御に留まらず、検知・対応・復旧といったインシデント対応を含んでいます。CSF2.0は、中⼩企業を含むあらゆる組織で利用されるよう設計されています。CSF2.0はISMSを補完し、組織のセキュリティ対策を強化するための有用なツールとなるので、ISMSをベースにして、必要に応じてCSFを取り込むとよいでしょう。
11-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
CPSFは、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークです。CPSFの主な目的は、新たな産業社会におけるバリュークリエイションプロセス全体の理解、リスク源の明確化、必要なセキュリティ対策全体像の整理を⾏うことです。従来のサプライチェーンに適用可能なセキュリティ対策に加えて、新たな産業社会の変化から⽣じる特有の対策も含まれています。
11-5. サイバーセキュリティ経営ガイドライン
サイバーセキュリティ経営ガイドラインは、経済産業省とIPAが共同で発⾏しているガイドラインで、企業がサイバーセキュリティを効果的に経営に取り⼊れるための指針を提供します。経営者が認識するべき3原則、サイバーセキュリティ経営の重要10項目など内容を含んでおり、経営者、情報セキュリティ対策の責任者(CISOなど)の⽴場から、セキュリティ対策を実践する際の役割、認識するべきことがまとめられています。このガイドラインは、企業がサイバーセキュリティを経営の⼀部として位置づけ、組織全体でセキュリティ意識を⾼めるための基盤として活用できます。
