7-1-2. フレームワーク選択の重要性
[ISO/IEC発行]ISMS(情報セキュリティマネジメントシステム)[ISO/IEC27001,27002]
網羅的なセキュリティフレームワーク
情報の機密性、完全性、可用性を保護するための体系的な仕組みであり、技術的対策だけでなく、従業員の教育や訓練、組織体制の整備などが含まれています。必ずしも、組織全体で適用する必要はなく、組織の必要に応じて、適用範囲を決定できるという特徴があります。[15]
[ISO/IEC発行]ISO/IEC27017
クラウドサービス
クラウドサービスに関する情報セキュリティ対策を実施するためのガイドライン規格で、ISO/IEC27002をベースに作成されています。この規格は、クラウドサービスの提供者とクラウドサービスの利用者の両方を対象としています。クラウドサービスに関するリスクの低減や、クラウドサービスを適切に利用する組織体制を確立できます。
また、情報セキュリティ全般に関するマネジメントシステム規格であるISO/IEC 27001の取組みをISO/IEC 27017で強化することで、クラウドサービスにも対応した情報セキュリティ管理体制を構築することができます。
[NIST発行]CSF(サイバーセキュリティフレームワーク)
重要インフラ
CSFの正式名称は「重要インフラのサイバーセキュリティを改善するためのフレームワーク」となり、重要インフラ向けのセキュリティフレームワークとして発行されました。NISTが定義するサイバーセキュリティ対策アプローチの中で最も上位に位置付けられており、セキュリティ管理手法の概念や管理方針・体制の整備など包括的な内容が記載されています。
CSFの下位概念に位置付けられているのがSP800シリーズ(SP 800-53/SP 800-171/SP 800-161など)となり、 SP800シリーズの内容については後述します。
[経済産業省発行]CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)
Society 5.0における産業社会
ISMS、CSFの概念を包含したフレームワークであり、サイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理しています。Society5.0を意識したセキュリティリスクとその対策方法について記述されている特徴があります。
リスク源を適切に捉えるために産業社会を3層構造と6つの構成要素で捉えており、産業界が自らのセキュリティ対策に活用できるよう、対策例がまとめられています。
[経済産業省/IPA発行]サイバーセキュリティ経営ガイドライン
経営者を中心としたセキュリティ対策
サイバー攻撃の多様化・巧妙化に伴い、サイバー攻撃から企業を守るために必要なことをまとめたガイドラインです。 ISMSのフレームワークがベースとなっており、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある3原則と、経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISOなど)に指示すべき重要10項目をまとめているという特徴があります。[16]
サイバー攻撃から企業を守る観点で、“サイバーセキュリティは経営問題”と定義し、経営者を中心とした組織的な対策の見直し・強化を求めています。
[PCI SSC発行]PCI DSS(国際的なクレジット産業向けのデータセキュリティ基準)
クレジットカード産業
クレジットカード情報を取扱う全ての事業者に対して国際カードブランド5社が共同で策定した、クレジットカードの取扱いにおけるセキュリティの国際基準です(Payment Card Industry Data Security Standard の略)。[17]
カード会員情報を適切に管理するため、ネットワークアーキテクチャ、ソフトウェアデザイン、セキュリティマネジメント、ポリシー、プロシジャなどに関する基準が12の要件として規定されています。
[JIPDEC発行]PMS(個人情報保護マネジメントシステム)
個人情報保護
組織が業務上取り扱う個人情報を安全で適切に管理するための仕組みです。JIS Q 15001によって要求事項が定められています。この規格は、事業者が個人情報を適切に取り扱う方法を規定したもので、プライバシーの保護を直接の目的とはしていません。しかし、意図しない個人情報の取扱いが抑制されることで、結果的にプライバシーも保護されます。[18]
PMSの基本的な仕組みは、個人情報保護方針を定め、この方針に基づき「PDCAサイクル」を実行することとなります。
[CIS発行]CIS Controls
具体的なサイバー攻撃アプローチ
サイバー攻撃の現状と傾向を踏まえて、組織が実施すべきサイバーセキュリティ対策とその優先順位を決めるためのフレームワークで、あらゆる企業がとるべき最も基本的で重要な対応に重点を置いています。ネットワークの詳細設定や、ログの管理など、具体的で技術的な対策が中心となっている特徴があります。
多岐にわたる対策の中から、自社(組織)が実施すべき対策と、その優先順位を導くためのアプローチを提示したフレームワークとなります。
[ISA/IEC発行]ISA/IEC62443
産業オートメーションおよび制御システム
産業用自動制御システム(Industrial Automation and Control Systems)に対するセキュリティ対策とプロセス要件を定めた一連の国際標準規格です。ISO/IEC 27001などではカバーしきれない、工場やプラントにおける制御システムのセキュリティを網羅的に対象としています。また、セキュリティ確保の対象は、ソフトウェア・ハードウェアを含む制御関連のデータ処理基盤であるシステムだけでなく、システムの運用に関わる「人」と「業務」も対象となっている特徴があります。
[15]:ISMS-AC.”ISMS適合性評価制度”. https://isms.jp/doc/JIP-ISMS120-62.pdf, (2023-08-10).
[16]:経済産業省.”サイバーセキュリティ経営ガイドラインと支援ツール”. https://www.meti.go.jp/policy/netsecurity/mng_guide.html, (2023-08-10).
[17]:経済産業省.”クレジットカードシステムのセキュリティ対策の更なる強化に向けた方向性”. https://www.meti.go.jp/policy/economy/consumer/credit/2022060221001.pdf, (2023-08-17).
[18]:JIPDEC.”「個人情報」と「プライバシー」の違い”. https://privacymark.jp/wakaru/kouza/theme1_03.html, (2023-08-10).