セミナーテキスト｜令和6年度中小企業サイバーセキュリティ社内体制整備事業

第0編　はじめに

第0章. テキスト活用

0-1. テキストの目的、想定読者、全体構成、テキストの利用方法など

0-1-1. テキストの目的、想定読者

0-1-2. 全体構成

0-1-3. テキストの利用方法

第1編　サイバーセキュリティを取り巻く背景【レベル共通】

第1章. デジタル時代の社会とIT情勢

1-1. デジタル時代の社会とIT情勢

第2章. サイバーセキュリティの基礎知識

2-1 導入済みとする想定するセキュリティ対策機能

2-2. SECURITY ACTION（セキュリティ対策自己宣言）

2-2-1. SECURITY ACTION 二つ星レベル

2-2-2. 情報セキュリティ5か条

2-2-3. 情報セキュリティ自社診断

2-2-4. 情報セキュリティ基本方針

2-3. セキュリティアプローチ方法

第3章. デジタル社会の方向性と実現に向けた国の方針

3-1. 国の基本方針および実施計画の要約

3-2. 政府機関が目指す社会の方向性とサイバーセキュリティ課題

3-2-1. デジタル社会の実現にむけた重点計画

3-2-2. Society 5.0

3-2-3. DXの推進

第4章. サイバーセキュリティ戦略および関連法令

4-1. NISC：サイバーセキュリティ戦略

4-1-1. サイバーセキュリティ戦略

4-1-2. サイバーセキュリティ2023

4-2. 企業経営に重要なDX推進とセキュリティ確保の両立

4-2-1. 企業経営のためのサイバーセキュリティの考え方

4-2-2. DX with Cybersecurity

4-3. 関連法令

4-3-1. 個人情報保護法

4-3-2. GDPR

4-3-3. その他関連法令

第2編　中小企業に求められるデジタル化の推進とサイバーセキュリティ対策【レベル共通】

第5章. 事例を知る：重大なインシデント発生から課題解決まで

5-1. 情報セキュリティの概況

5-1-1. 情報セキュリティの脅威を学ぶ

5-1-2. IPA：情報セキュリティ白書から見る脅威

5-1-3. IPA：情報セキュリティ10大脅威

5-2. 重大インシデント事例から学ぶ課題解決

5-2-1. インシデント事例から学ぶ

5-2-2. 最近の攻撃トレンド、および中小企業にも発生しうるサイバー被害事例

5-2-3. 事案発生->課題の抽出->再発防止策の実施までの流れ

5-2-4. インシデントから得た気付きと取組み

5-2-5. ランサムウェア感染の実態

5-3. 実際の被害事例からみるケーススタディー

5-3-1. 最近のサイバー被害事例発生の傾向

5-3-2. 事例：某港のランサムウェア被害

5-3-3. 具体的な対応策

第6章. 企業経営で重要となるIT投資と投資としてのサイバーセキュリティ対策

6-1. これからの企業経営で必要な観点：社会の動向

6-1-1. 現実社会とサイバー空間のつながり

6-1-2. IT活用における課題

6-2. 守りのIT投資と攻めのIT投資

6-2-1. 守りのIT投資、攻めのIT投資の概要

6-2-2. 経済産業省のDXレポートから見る、「攻めのIT」に取り組む方針について

6-2-3. ITを活用した生産性の向上（デジタルオプティマイゼーション）

6-2-4. ITを活用した新たなビジネスの展開（デジタルトランスフォーメーション）

6-2-5. 次世代技術を活用したビジネス展開

6-3. 経営投資としてのサイバーセキュリティ対策

6-3-1. サイバーセキュリティ対策の重要性

6-3-2. 経営者が重要視すべき３つのポイント

第3編　これからの企業経営で必要なIT活用とサイバーセキュリティ対策【レベル共通】

第7章. セキュリティ対策の概要（全容）

7-1. 対策基準の策定

7-1-1. セキュリティ対策のレベル

7-1-2. セキュリティ対策のアプローチ方法

第8章. 情報セキュリティ対策関連の用語の定義と識別方法（脅威、脆弱性、リスクの定義と関係性）

8-1. 用語の定義および関係性と識別方法

8-1-1. 用語の定義と関係性

8-1-2. 脅威の識別

8-1-3. 脆弱性の識別

第4編　セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施【レベル１】

第9章. 具体的手順の作成（LV.1 クイックアプローチ）

9-1. 【LV.1 クイックアプローチ】の概要

9-1-1. LV.1 クイックアプローチ

9-2. 【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順

9-2-1. セキュリティインシデント事例を参考とした実施手順

第5編　各種ガイドラインを参考にした対策の実施【レベル２】

第10章. 具体的手順の作成（LV2. ベースラインアプローチ）

10-1. 【LV.2 ベースラインアプローチ】の概要

10-1-1. LV.2 ベースラインアプローチ

10-2. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順

10-2-1. 情報セキュリティ対策ガイドラインの活用

10-2-2. IPA「中小企業の情報セキュリティ対策ガイドライン第3.1版」の活用

10-2-3. NISC「インターネットの安全・安心ハンドブックVer.5.0」の活用

10-2-4. 総務省「テレワークセキュリティガイドライン第5版」の活用

10-2-5. IPA「中小企業のためのクラウドサービス安全利用の手引き」の活用

10-2-6. IPA「情報セキュリティ関連規程」の活用

第6編　ISMS等のフレームワークの種類と活用法の紹介【レベル３】

第11章. セキュリティフレームワーク

11-1. セキュリティフレームワークの概要

11-1-1. セキュリティフレームワークの役割と重要性

11-1-2. フレームワーク選択の重要性

11-2. 情報セキュリティマネジメントシステム（ISMS）[ISO/IEC27001:2022, 27002:2022]

11-2-1. ISMSの概要

11-2-2. ISMSの要素と要件

11-2-3. ISMSの実装と認証

11-3. NIST サイバーセキュリティフレームワーク（CSF）

11-3-1. NIST サイバーセキュリティフレームワーク（CSF）の概要

11-3-2. NIST サイバーセキュリティフレームワーク2.0（CSF2.0）の変更点

11-3-3. NIST SP 800

11-3-4. ISMSとの関連性

11-4. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

11-4-1. CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）の概要

11-5. サイバーセキュリティ経営ガイドライン

11-5-1. サイバーセキュリティ経営ガイドライン

11-5-2. サイバーセキュリティ経営ガイドラインの読み方

11-5-3. サイバーセキュリティ経営ガイドラインの実践の流れ

第12章. リスクマネジメント ⇒13-2-4. ISMS：6. 計画

12-1. リスクマネジメント：概要

12-1-1. リスクマネジメントプロセス（ISO31000）

12-1-2. 情報セキュリティリスクマネジメント（ISO/IEC 27005）

12-1-3. ISO/IEC 27001におけるリスクマネジメント手順

12-2. リスクマネジメント：リスクアセスメント

12-2-1. リスク基準の確立

12-2-2. リスクの特定

12-2-3. リスクの分析

12-2-4. リスクの評価

12-3. リスクマネジメント：リスク対応

12-3-1. 対策案の検討

第7編　ISMSの構築と対策基準の策定と実施手順【レベル３】

第13章. ISMSの要求事項と構築（LV3. 網羅的アプローチ）

13-1. 【LV.3 網羅的アプローチ】の概要

13-1-1. LV.3 網羅的アプローチ

13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順

13-2-1. ISMSの概要（確立・運用・監視）

13-2-2. ISMS：4. 組織の状況

13-2-3. ISMS：5. リーダーシップ

13-2-4. ISMS：6. 計画

13-2-5. ISMS：7. 支援

13-2-6. ISMS：8. 運用

13-2-7. ISMS：9. パフォーマンス評価

13-2-8. ISMS：10. 改善

13-3. ISMS文書体系（ISMS構築・導入に必要な文書と記録）

13-3-1. ISMS文書としての策定内容とポイント

13-4. ISMS文書体系（ISMS構築・導入に必要な文書と記録）

13-4-1. ISO/IEC27001の審査準備と審査内容

13-4-2. ISO/IEC27001の認証機関の選定と申し込み

13-4-3. ISO/IEC27001の審査事前準備

13-4-4. ISO/IEC27001の審査（第一段・第二段）

13-4-5. ISO/IEC27001の維持審査

13-4-6. ISO/IEC27001の維持審査・再認証審査

第14章. ISMSの管理策

14-1. 管理策の分類と構成

14-1-1. 管理策：ISO/IEC 27002

14-1-2. 管理策のテーマと属性

第15章. 組織的対策

15-1. 作成する候補となる実施手順書類について

15-1-1. 作成する候補となる実施手順書の一覧

15-2. 組織的対策として重要となる実施項目

15-2-1. 情報化・サイバーセキュリティ・個人情報保護

15-2-2. 脅威インテリジェンス

15-2-3. 情報資産台帳作成・維持実施

15-2-4. クラウドサービス利用

15-2-5. 情報セキュリティインシデント対応

15-2-6. 事業継続計画策定

15-2-7. 法的、規制および契約上の要件

15-2-8. 知的財産、データ、プライバシー

15-2-9. セキュリティ対策状況の点検・監査・評価・認証

第16章. 人的対策

16-1. 作成する候補となる実施手順書類について

16-1-1. 作成する候補となる実施手順書の一覧

16-2. 人的対策として重要となる実施項目

16-2-1. スクリーニング

16-2-2. 雇用契約書

16-2-3. 懲戒手続き

16-2-4. 雇用の終了または変更後の責任

16-2-5. 守秘義務または秘密保持契約

16-2-6. リモートワーク実施手順

16-2-7. 情報セキュリティイベントの報告

第17章. 物理的対策

17-1. 作成する候補となる実施手順書類について

17-1-1. 作成する候補となる実施手順書の一覧

17-2. 物理的対策として重要となる実施項目

17-2-1. 物理的なセキュリティ境界

17-2-2. 入退室認証システム

17-2-3. 物理的セキュリティの監視

17-2-4. 物理的および環境的脅威からの保護

17-2-5. オフプレミスの資産のセキュリティ

17-2-6. 機器のメンテナンス

17-3. BYOD、MDM

17-3-1. BYOD（Bring Your Own Device）導入検討にむけて

17-3-2. MDM（Mobile Device Management）導入のポイント

第18章. 技術的対策

18-1. 作成する候補となる実施手順書類について

18-1-1. 作成する候補となる実施手順書の一覧

18-2. 物理的対策として重要となる実施項目

18-2-1. エンドポイントデバイス

18-2-2. 特権アクセス権

18-2-3. アクセス制限

18-2-4. 安全な認証

18-2-5. キャパシティ管理

18-2-6. マルウェアに対する保護

18-2-7. 技術的脆弱性の管理

18-2-8. 構成管理

18-2-9. 情報の削除

18-2-10. データ保護

18-2-11. バックアップ

18-2-12. 冗長化

18-2-13. ロギング

18-2-14. 監視

18-2-15. クロック同期

18-2-16. 特権ユーティリティの使用

18-2-17. ソフトウェア管理

18-2-18. ネットワークセキュリティ

18-2-19. ネットワークの分離

18-2-20. Webフィルタリング

18-2-21. 暗号の使用

18-3. 実施手順を適用するセキュリティ概念

18-3-1. Security by Design

18-3-2. ゼロトラスト、境界防御モデル

18-3-3. SASE

18-3-4. ネットワーク制御（Network as a Service）

18-3-5. セキュリティ統制（Security as a Service）

18-4. インシデント対応

18-4-1. インシデント対応（防御・検知・対応・復旧）

第19章. セキュリティ対策状況の有効性評価 ⇒第13章. ISMSの要求事項と構築（LV3. 網羅的アプローチ）

19-1. セキュリティ対策状況の有効性評価

19-1-1. 内部監査

19-1-2. 外部監査

第8編　具体的な構築・運用の実践【レベル３】

第20章.人的、組織的、技術的、物理的対策の実施手順に基づいた実施

20-1. 組織的対策

20-1-1. 全業種

20-1-2. ものづくり企業

20-1-3. サービス企業

20-2. 人的対策

20-2-1. 全業種

20-2-2. ものづくり企業

20-2-3. サービス企業

20-3. 物理的対策

20-3-1. 全業種

20-3-2. ものづくり企業

20-3-3. サービス企業

20-4. 技術的対策

20-4-1. 全業種

20-4-2. ものづくり企業

20-4-3. サービス企業

第21章. セキュリティ機能の実装と運用（IT環境構築・運用実施手順）

21-1. セキュリティ機能の実装と運用について

21-1-1. デジタル・ガバメント標準ガイドラインの概要

21-1-2. セキュリティ機能の実装・運用ポイント

21-2. アジャイル開発

21-2-1. アジャイル開発の概要

21-2-2. アジャイル開発の実施ポイント

第9編　組織として実践するためのスキル・知識と人材育成【レベル共通】

第22章. サイバーセキュリティ対策を実践するためのスキルと知識

22-1. スキル標準の概要

22-1-1. DXに関するリテラシーを身につけることによる効果

22-1-2. デジタルスキル標準(DSS)

22-1-3. プラスセキュリティ人材

22-2. 役割とタスク

22-2-1. 役割・タスク毎に必要な素養・スキル・知識のレベル

22-3. タスクごとのスキル項目・知識

22-3-1. スキル項目一覧

第23章. スキルと知識を持った人材育成・人材確保方法

23-1. スキル項目・知識を持った人材育成方法

23-1-1. チェンジリマインド

23-1-2. デジタルを作る人材

23-1-3. デジタルを使う人材

23-1-4. リスクキリング

23-2. スキル項目・知識を持った人材確保方法

23-2-1. 採用方針例

第24章. 各種人材育成カリキュラム

24-1. 各種人材育成カリキュラム

24-1-1. 人材育成カリキュラム例

第25章. 人材のスキルと知識の認定制度

25-1. スキル、知識の習得状況を評価するための認定試験制度を示す

25-1-1. ITパスポート試験（iパス）

25-1-2. 基本情報処理技術者試験

25-1-3. 応用情報処理技術者試験

25-1-4. G検定（ジェネラリスト検定）

25-1-5. データサイエンティスト検定（リテラシーレベル）

25-1-6. 情報セキュリティマネジメント試験

第10編　全体総括

第26章. 全体のポイントの振り返り今後の方向性

第27章. 今後実施すべきこと

第28章. エグゼクティブサマリー

付録

付録1.引用文献

付録2.参考文献

付録3.用語集

付録4.関係法規、規程、フレームワークに関連する文書

付録5.人材育成に関する関連文書

セミナーテキスト

令和6年7月～令和7年1月

WEB

第0編　はじめに

第1編　サイバーセキュリティを取り巻く背景【レベル共通】

第2編　中小企業に求められるデジタル化の推進とサイバーセキュリティ対策【レベル共通】

第3編　これからの企業経営で必要なIT活用とサイバーセキュリティ対策【レベル共通】

第4編　セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施【レベル１】

第5編　各種ガイドラインを参考にした対策の実施【レベル２】

第6編　ISMS等のフレームワークの種類と活用法の紹介【レベル３】

第7編　ISMSの構築と対策基準の策定と実施手順【レベル３】

第8編　具体的な構築・運用の実践【レベル３】

第9編　組織として実践するためのスキル・知識と人材育成【レベル共通】

第10編　全体総括

付録

セミナーテキスト

令和6年7月～令和7年1月

WEB

第0編 はじめに

第1編 サイバーセキュリティを取り巻く背景 【レベル共通】

第2編 中小企業に求められるデジタル化の推進とサイバーセキュリティ対策 【レベル共通】

第3編 これからの企業経営で必要なIT活用とサイバーセキュリティ対策 【レベル共通】

第4編 セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施 【レベル１】

第5編 各種ガイドラインを参考にした対策の実施 【レベル２】

第6編 ISMS等のフレームワークの種類と活用法の紹介 【レベル３】

第7編 ISMSの構築と対策基準の策定と実施手順 【レベル３】

第8編 具体的な構築・運用の実践 【レベル３】

第9編 組織として実践するためのスキル・知識と人材育成 【レベル共通】

第10編 全体総括

付録

第0編　はじめに

第1編　サイバーセキュリティを取り巻く背景【レベル共通】

第2編　中小企業に求められるデジタル化の推進とサイバーセキュリティ対策【レベル共通】

第3編　これからの企業経営で必要なIT活用とサイバーセキュリティ対策【レベル共通】

第4編　セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施【レベル１】

第5編　各種ガイドラインを参考にした対策の実施【レベル２】

第6編　ISMS等のフレームワークの種類と活用法の紹介【レベル３】

第7編　ISMSの構築と対策基準の策定と実施手順【レベル３】

第8編　具体的な構築・運用の実践【レベル３】

第9編　組織として実践するためのスキル・知識と人材育成【レベル共通】

第10編　全体総括