セミナーテキスト
令和6年7月~令和7年1月
セミナーでは、セキュリティに関する実践的な知識が身につくよう、セキュリティ対策の基礎知識だけでなく、現在の社会におけるセキュリティ動向や脅威に関する理解を深めることを重視しました。また、この理解を踏まえて具体的なセキュリティ対策について解説しました。
WEB
第0編 はじめに
- 0-1. テキストの目的、想定読者、全体構成、テキストの利用方法など
0-1-1. テキストの目的、想定読者
0-1-2. 全体構成
0-1-3. テキストの利用方法
第1編 サイバーセキュリティを取り巻く背景 【レベル共通】
- 1-1. デジタル時代の社会とIT情勢
- 2-1 導入済みとする想定するセキュリティ対策機能
- 2-2. SECURITY ACTION(セキュリティ対策自己宣言)
2-2-1. SECURITY ACTION 二つ星レベル
2-2-2. 情報セキュリティ5か条
2-2-3. 情報セキュリティ自社診断
2-2-4. 情報セキュリティ基本方針
- 2-3. セキュリティアプローチ方法
- 3-1. 国の基本方針および実施計画の要約
- 3-2. 政府機関が目指す社会の方向性とサイバーセキュリティ課題
3-2-1. デジタル社会の実現にむけた重点計画
3-2-2. Society 5.0
3-2-3. DXの推進
- 4-1. NISC:サイバーセキュリティ戦略
4-1-1. サイバーセキュリティ戦略
4-1-2. サイバーセキュリティ2023
- 4-2. 企業経営に重要なDX推進とセキュリティ確保の両立
4-2-1. 企業経営のためのサイバーセキュリティの考え方
4-2-2. DX with Cybersecurity
- 4-3. 関連法令
4-3-1. 個人情報保護法
4-3-2. GDPR
4-3-3. その他関連法令
第2編 中小企業に求められるデジタル化の推進とサイバーセキュリティ対策 【レベル共通】
- 5-1. 情報セキュリティの概況
5-1-1. 情報セキュリティの脅威を学ぶ
5-1-2. IPA:情報セキュリティ白書から見る脅威
5-1-3. IPA:情報セキュリティ10大脅威
- 5-2. 重大インシデント事例から学ぶ課題解決
5-2-1. インシデント事例から学ぶ
5-2-2. 最近の攻撃トレンド、および中小企業にも発生しうるサイバー被害事例
5-2-3. 事案発生->課題の抽出->再発防止策の実施までの流れ
5-2-4. インシデントから得た気付きと取組み
5-2-5. ランサムウェア感染の実態
- 5-3. 実際の被害事例からみるケーススタディー
5-3-1. 最近のサイバー被害事例発生の傾向
5-3-2. 事例:某港のランサムウェア被害
5-3-3. 具体的な対応策
- 6-1. これからの企業経営で必要な観点:社会の動向
6-1-1. 現実社会とサイバー空間のつながり
6-1-2. IT活用における課題
- 6-2. 守りのIT投資と攻めのIT投資
6-2-1. 守りのIT投資、攻めのIT投資の概要
6-2-2. 経済産業省のDXレポートから見る、「攻めのIT」に取り組む方針について
6-2-3. ITを活用した生産性の向上(デジタルオプティマイゼーション)
6-2-4. ITを活用した新たなビジネスの展開(デジタルトランスフォーメーション)
6-2-5. 次世代技術を活用したビジネス展開
- 6-3. 経営投資としてのサイバーセキュリティ対策
6-3-1. サイバーセキュリティ対策の重要性
6-3-2. 経営者が重要視すべき3つのポイント
第3編 これからの企業経営で必要なIT活用とサイバーセキュリティ対策 【レベル共通】
- 7-1. 対策基準の策定
7-1-1. セキュリティ対策のレベル
7-1-2. セキュリティ対策のアプローチ方法
- 8-1. 用語の定義および関係性と識別方法
8-1-1. 用語の定義と関係性
8-1-2. 脅威の識別
8-1-3. 脆弱性の識別
第4編 セキュリティ事象に対応して組織として策定すべき対策基準と具体的な実施 【レベル1】
- 9-1. 【LV.1 クイックアプローチ】の概要
9-1-1. LV.1 クイックアプローチ
- 9-2. 【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順
9-2-1. セキュリティインシデント事例を参考とした実施手順
第5編 各種ガイドラインを参考にした対策の実施 【レベル2】
- 10-1. 【LV.2 ベースラインアプローチ】の概要
10-1-1. LV.2 ベースラインアプローチ
- 10-2. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順
10-2-1. 情報セキュリティ対策ガイドラインの活用
10-2-2. IPA「中小企業の情報セキュリティ対策ガイドライン第3.1版」の活用
10-2-3. NISC「インターネットの安全・安心ハンドブックVer.5.0」の活用
10-2-4. 総務省「テレワークセキュリティガイドライン第5版」の活用
10-2-5. IPA「中小企業のためのクラウドサービス安全利用の手引き」の活用
10-2-6. IPA「情報セキュリティ関連規程」の活用
第6編 ISMS等のフレームワークの種類と活用法の紹介 【レベル3】
- 11-1. セキュリティフレームワークの概要
11-1-1. セキュリティフレームワークの役割と重要性
11-1-2. フレームワーク選択の重要性
- 11-2. 情報セキュリティマネジメントシステム(ISMS)[ISO/IEC27001:2022, 27002:2022]
11-2-1. ISMSの概要
11-2-2. ISMSの要素と要件
11-2-3. ISMSの実装と認証
- 11-3. NIST サイバーセキュリティフレームワーク(CSF)
11-3-1. NIST サイバーセキュリティフレームワーク(CSF)の概要
11-3-2. NIST サイバーセキュリティフレームワーク2.0(CSF2.0)の変更点
11-3-3. NIST SP 800
11-3-4. ISMSとの関連性
- 11-4. サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
11-4-1. CPSF(サイバー・フィジカル・セキュリティ対策フレームワーク)の概要
- 11-5. サイバーセキュリティ経営ガイドライン
11-5-1. サイバーセキュリティ経営ガイドライン
11-5-2. サイバーセキュリティ経営ガイドラインの読み方
11-5-3. サイバーセキュリティ経営ガイドラインの実践の流れ
- 12-1. リスクマネジメント:概要
12-1-1. リスクマネジメントプロセス(ISO31000)
12-1-2. 情報セキュリティリスクマネジメント(ISO/IEC 27005)
12-1-3. ISO/IEC 27001におけるリスクマネジメント手順
- 12-2. リスクマネジメント:リスクアセスメント
12-2-1. リスク基準の確立
12-2-2. リスクの特定
12-2-3. リスクの分析
12-2-4. リスクの評価
- 12-3. リスクマネジメント:リスク対応
12-3-1. 対策案の検討
第7編 ISMSの構築と対策基準の策定と実施手順 【レベル3】
- 13-1. 【LV.3 網羅的アプローチ】の概要
13-1-1. LV.3 網羅的アプローチ
- 13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順
13-2-1. ISMSの概要(確立・運用・監視)
13-2-2. ISMS:4. 組織の状況
13-2-3. ISMS:5. リーダーシップ
13-2-4. ISMS:6. 計画
13-2-5. ISMS:7. 支援
13-2-6. ISMS:8. 運用
13-2-7. ISMS:9. パフォーマンス評価
13-2-8. ISMS:10. 改善
- 13-3. ISMS文書体系(ISMS構築・導入に必要な文書と記録)
13-3-1. ISMS文書としての策定内容とポイント
- 13-4. ISMS文書体系(ISMS構築・導入に必要な文書と記録)
13-4-1. ISO/IEC27001の審査準備と審査内容
13-4-2. ISO/IEC27001の認証機関の選定と申し込み
13-4-3. ISO/IEC27001の審査事前準備
13-4-4. ISO/IEC27001の審査(第一段・第二段)
13-4-5. ISO/IEC27001の維持審査
13-4-6. ISO/IEC27001の維持審査・再認証審査
- 14-1. 管理策の分類と構成
14-1-1. 管理策:ISO/IEC 27002
14-1-2. 管理策のテーマと属性
- 15-1. 作成する候補となる実施手順書類について
15-1-1. 作成する候補となる実施手順書の一覧
- 15-2. 組織的対策として重要となる実施項目
15-2-1. 情報化・サイバーセキュリティ・個人情報保護
15-2-2. 脅威インテリジェンス
15-2-3. 情報資産台帳作成・維持実施
15-2-4. クラウドサービス利用
15-2-5. 情報セキュリティインシデント対応
15-2-6. 事業継続計画策定
15-2-7. 法的、規制および契約上の要件
15-2-8. 知的財産、データ、プライバシー
15-2-9. セキュリティ対策状況の点検・監査・評価・認証
- 16-1. 作成する候補となる実施手順書類について
16-1-1. 作成する候補となる実施手順書の一覧
- 16-2. 人的対策として重要となる実施項目
16-2-1. スクリーニング
16-2-2. 雇用契約書
16-2-3. 懲戒手続き
16-2-4. 雇用の終了または変更後の責任
16-2-5. 守秘義務または秘密保持契約
16-2-6. リモートワーク実施手順
16-2-7. 情報セキュリティ イベントの報告
- 17-1. 作成する候補となる実施手順書類について
17-1-1. 作成する候補となる実施手順書の一覧
- 17-2. 物理的対策として重要となる実施項目
17-2-1. 物理的なセキュリティ境界
17-2-2. 入退室認証システム
17-2-3. 物理的セキュリティの監視
17-2-4. 物理的および環境的脅威からの保護
17-2-5. オフプレミスの資産のセキュリティ
17-2-6. 機器のメンテナンス
- 17-3. BYOD、MDM
17-3-1. BYOD(Bring Your Own Device)導入検討にむけて
17-3-2. MDM(Mobile Device Management)導入のポイント
- 18-1. 作成する候補となる実施手順書類について
18-1-1. 作成する候補となる実施手順書の一覧
- 18-2. 物理的対策として重要となる実施項目
18-2-1. エンドポイントデバイス
18-2-2. 特権アクセス権
18-2-3. アクセス制限
18-2-4. 安全な認証
18-2-5. キャパシティ管理
18-2-6. マルウェアに対する保護
18-2-7. 技術的脆弱性の管理
18-2-8. 構成管理
18-2-9. 情報の削除
18-2-10. データ保護
18-2-11. バックアップ
18-2-12. 冗長化
18-2-13. ロギング
18-2-14. 監視
18-2-15. クロック同期
18-2-16. 特権ユーティリティの使用
18-2-17. ソフトウェア管理
18-2-18. ネットワークセキュリティ
18-2-19. ネットワークの分離
18-2-20. Webフィルタリング
18-2-21. 暗号の使用
- 18-3. 実施手順を適用するセキュリティ概念
18-3-1. Security by Design
18-3-2. ゼロトラスト、境界防御モデル
18-3-3. SASE
18-3-4. ネットワーク制御(Network as a Service)
18-3-5. セキュリティ統制(Security as a Service)
- 18-4. インシデント対応
18-4-1. インシデント対応(防御・検知・対応・復旧)
- 19-1. セキュリティ対策状況の有効性評価
19-1-1. 内部監査
19-1-2. 外部監査
第8編 具体的な構築・運用の実践 【レベル3】
- 20-1. 組織的対策
20-1-1. 全業種
20-1-2. ものづくり企業
20-1-3. サービス企業
- 20-2. 人的対策
20-2-1. 全業種
20-2-2. ものづくり企業
20-2-3. サービス企業
- 20-3. 物理的対策
20-3-1. 全業種
20-3-2. ものづくり企業
20-3-3. サービス企業
- 20-4. 技術的対策
20-4-1. 全業種
20-4-2. ものづくり企業
20-4-3. サービス企業
- 21-1. セキュリティ機能の実装と運用について
21-1-1. デジタル・ガバメント標準ガイドラインの概要
21-1-2. セキュリティ機能の実装・運用ポイント
- 21-2. アジャイル開発
21-2-1. アジャイル開発の概要
21-2-2. アジャイル開発の実施ポイント
第9編 組織として実践するためのスキル・知識と人材育成 【レベル共通】
- 22-1. スキル標準の概要
22-1-1. DXに関するリテラシーを身につけることによる効果
22-1-2. デジタルスキル標準(DSS)
22-1-3. プラスセキュリティ人材
- 22-2. 役割とタスク
22-2-1. 役割・タスク毎に必要な素養・スキル・知識のレベル
- 22-3. タスクごとのスキル項目・知識
22-3-1. スキル項目一覧
- 23-1. スキル項目・知識を持った人材育成方法
23-1-1. チェンジリマインド
23-1-2. デジタルを作る人材
23-1-3. デジタルを使う人材
23-1-4. リスクキリング
- 23-2. スキル項目・知識を持った人材確保方法
23-2-1. 採用方針例
- 24-1. 各種人材育成カリキュラム
24-1-1. 人材育成カリキュラム例
- 25-1. スキル、知識の習得状況を評価するための認定試験制度を示す
25-1-1. ITパスポート試験(iパス)
25-1-2. 基本情報処理技術者試験
25-1-3. 応用情報処理技術者試験
25-1-4. G検定(ジェネラリスト検定)
25-1-5. データサイエンティスト検定(リテラシーレベル)
25-1-6. 情報セキュリティマネジメント試験