東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

19-2-7. 第7章. セキュリティフレームワーク

  • 7-1. セキュリティフレームワークの概要
  • 7-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022, 27002:2022]
  • 7-3. NIST サイバーセキュリティフレームワーク(CSF)
  • 7-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
  • 7-5. サイバーセキュリティ経営ガイドライン

章の目的

第7章では、ISMSをはじめとしたサイバーセキュリティ対策における代表的なフレームワークを理解し、それぞれの内容について知識を身につけることを目的とします。

主な達成目標

  • サイバーセキュリティ対策においてフレームワークを活用することの重要性について理解すること
  • 各フレームワークの目的や必要性などの特徴について理解すること

主なキーワード

セキュリティフレームワーク、ISMS

要旨

7章の全体概要

セキュリティ対策に関連するフレームワークの特徴や概要、そして各フレームワークの要素や要件について解説しています。セキュリティ対策は、やみくもに進めてしまうとかえって複雑になってしまい、余計に手間がかかり、内容に抜け漏れが発生する可能性があります。漏れなく効果的に対策を実施するために、企業はセキュリティフレームワークを使用し、自社の課題・目的に即した対応方針を選択することが重要です。

7-1. セキュリティフレームワークの概要

次のセキュリティフレームワークの概要、利用メリットについて説明しています。

  • ISMS(情報セキュリティマネジメントシステム)[ISO/IEC27001, 27002]
  • ISO/IEC27017
  • CSF(サイバーセキュリティフレームワーク)
  • CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)
  • サイバーセキュリティ経営ガイドライン
  • PCI DSS
  • PMS(個人情報保護マネジメントシステム)
  • CIS Controls
  • ISA/IEC62443

7-2.情報セキュリティマネジメントシステム(ISMS)

ISMSとは、組織の情報セキュリティリスクを適切に管理するための仕組みのことです。 ISMSは、セキュリティフレームワークの中でも代表的なものです。ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性完全性および可用性をバランスよく維持・改善し、リスクの適切な管理を実現し、信頼を利害関係者に与えることです。

7-3. NIST サイバーセキュリティフレームワーク(CSF)

サイバーセキュリティフレームワーク(CSF)は、NISTが作成したサイバー攻撃対策に重点をおいたフレームワークであり、防御にとどまらず、検知・対応・復旧といったインシデント対応が含まれています。多様な企業に適用できるように要求事項が汎用的になっています。CSFは、組織がセキュリティ対策を継続的に改善するため、 ①コア(サイバーセキュリティ対策の一覧)、②ティア(対策状況を数値化するための成熟度評価基準)、③プロファイル(サイバーセキュリティ対策の現状とあるべき姿を記述するためのフレームワーク)の3つの要素で構成されています。

7-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)は、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークです。

7-5. サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策を実行する際に認識するべき事項と、サイバーセキュリティ対策の責任者(CISOなど)に指示するべき事項を包括的にまとめています。経営者が主体となってサイバーセキュリティ対策を実施する際に参考にできます。

訴求ポイント

章を通した気づき・学び

セキュリティ対策を漏れなく効果的に実施するためには、セキュリティフレームワークを使用することが有効です。さまざまなセキュリティフレームワークがある中、自社の課題や目的に即したものを選択することが大切です。

認識していただきたい実施概要

  • 効果的なセキュリティ対策の実施や、取引先や顧客からの信頼を向上させるためには、フレームワークに沿って対策を進めることが有効であること。
  • セキュリティ対策を行うためのフレームワークは複数存在するが、まずは業種業態を問わずセキュリティ対策の全体の枠組みと、網羅的な対策項目を提示しているISMSをベースとし、必要に応じて業種業態や重点領域ごとに特に注力すべき内容が詳細化されている各種フレームワークで補完することが有効であること。