情報セキュリティ強化のための参考になるガイド、チェックシート一覧をまとめました。追記等メンテナンスは随時行えればと思います。
よくセキュリティで役に立つガイドが発行されたというニュースを見ますが、まとめておかないとどこにいったか分からなくなるので自身のためにも有益なガイド等をまとめました
また以下ジャンルでまとめています。
- 企業でセキュリティを検討するポイントや全体像を知りたい経営層向け
- 企業でセキュリティを実際に検討する実担当者向け
また英語が読めれば海外のセキュリティ基準やガイドを直接読めるのですが、私が英語ができないので日本語で記載しているものだけを厳選してまとめています。
企業でセキュリティを検討するポイントや全体像を知りたい経営層向け
中小企業の情報セキュリティ対策ガイドライン
中小企業の情報セキュリティ対策ガイドラインは経営者向けの部分と対策両方が記載されておりますので経営層だけでなく担当者の方にも参考になるかと思います。企業が行うべきセキュリティ対策全体が記載されているので最初に読むと全体像等をつかめるかと思います。
情報セキュリティ対策に取り組む際の、(1)経営者が認識し実施すべき指針、(2)社内において対策を実践する際の手順や手法をまとめたものです。
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
中小企業の情報セキュリティ対策ガイドライン:IPA 独立行政法人 情報処理推進機構
また別紙で様々な資料が公開されており、クラウドサービスを利用する上でのポイント、セキュリティ基本方針サンプル、リスク分析シート等々も公開されているので参考になるかと思います。
MY CISO ハンドブック
MY CISOハンドブック自体はセキュリティ担当者向けですが、経営陣とのコミュニケーションをとる部分が中心に記載してあるのでこちらに記載します。
「MY CISO ハンドブック・テンプレート」では、中小企業の CISO やセキュリティ担当者が、セキュリティに関わる業務を執行し、経営陣と適切なコミュニケーションを進めるうえで明確にすべき項目と内容を例示
中小企業向け MY CISO ハンドブック(CISO支援WG) | NPO日本ネットワークセキュリティ協会 (jnsa.org)
中小企業向け MY CISO ハンドブック(CISO支援WG) | NPO日本ネットワークセキュリティ協会 (jnsa.org)
またこちらはハンドブック以外に複数Sample資料が公開されており、業務影響分析やSaaSのセキュリティチェックのSample資料がありますので参考になるかと思います。
セキュリティ対応組織の教科書
セキュリティ対応組織の教科書では特にセキュリティ対応組織の教科書ハンドブックは経営層向けにセキュリティ組織はどのような体制が必要かを概要把握に使えます。
セキュリティ対応する組織の形をどう考え、作り上げたり、日々運用したりすると良いのかをまとめた資料となります。
活動成果|ISOG-J:セキュリティ対応組織の教科書 v2.1
活動成果|ISOG-J:セキュリティ対応組織の教科書 v2.1
その他の資料は組織としてセキュリティインシデントに対する対応の成熟度を測れたりどのような体制と対応が必要かを具体的にまとめているものがあります。
企業でセキュリティを実際に検討する実担当者向け
情報セキュリティポリシーサンプル改版(1.0版)
情報セキュリティポリシーとしてどんなものを会社で規定すべきかが参考になるサンプル資料となっています。セキュリティポリシーを策定中の会社では参考になるかと思います。
スマートデバイスやクラウド、SNSといった新しい技術やサービスの登場や、国際標準のISO/IEC27001:2013、ISO/IEC27002:2013の更新など、環境が変化している現状から、情報セキュリティポリシーサンプル1.0版として公開いたします。
情報セキュリティポリシーサンプル改版 (jnsa.org)
セキュリティ関連NIST文書
セキュリティ関連で国際的に参考にされる米国国立標準技術研究所(NIST)の発行するSP800シリーズとFIPSがあります。こちらは英語では理解するのが難しいですが、重要なものを中心にIPAが翻訳してくれています。セキュリティ対策を検討する際に参考になるかと思います。
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
セキュリティ関連NIST文書:IPA 独立行政法人 情報処理推進機構
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)はフィジカル空間もネットワークに接続されてきてセキュリティ対策が必要になっている中でどういった対策を行うべきかのフレームワークになります。
サイバー空間とフィジカル空間を高度に融合させることにより、多様なニーズにきめ細かに対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会「Society5.0」と、様々なつながりによって新たな付加価値を創出する「Connected Industries」では、サプライチェーンが従来の定型的・直線的なものから、より柔軟で動的なものに変化していくことになります。
このような新たな形のサプライチェーンを『価値創造過程(バリュークリエイションプロセス)』と定義し、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針として、『サイバー・フィジカル・セキュリティ対策フレームワーク』(以下、「CPSF」という。)の策定を進めてきました
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました (METI/経済産業省)
サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を策定しました (METI/経済産業省)
ゼロトラスト移行のすゝめ
ゼロトラスト移行のすゝめはゼロトラストという概念をできるだけ具体的に実装するにはという観点で導入とポイントをまてめている資料となります。
ゼロトラストの概念は近年のテレワークやクラウド利用の普及により注目を集めていますが、いざ自組織に実装しようとしたときにはさまざまな課題に直面することが予想されます。また、ゼロトラスト移行の効果を最大限発揮するためには、ゼロトラストに対する担当者の理解が不可欠になっています。
そこで本書ではゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめました。これからゼロトラスト移行を検討している組織の担当者に参考にしていただけると幸いです。
ゼロトラスト移行のすゝめ:IPA 独立行政法人 情報処理推進機構
ゼロトラスト移行のすゝめ:IPA 独立行政法人 情報処理推進機構
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版はセキュリティ人材の知識スキルを体系的にまとめた資料なので担当者としてどんな人材になるべきかスキルを習得するべきかの参考になります。
情報セキュリティ関する業務に携わる人材が身に付けるべき知識とスキルを体系的に整理した「情報セキュリティスキルマップ」
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 (jnsa.org)
セキュリティ知識分野(SecBoK)人材スキルマップ2021年版 (jnsa.org)
DX実践手引書 ITシステム構築編(完成第1.0版)
DX実践手引書 ITシステム構築編は先進企業へのインタビュー調査を踏まえて、DX推進をする上でITシステムに必要な考え方をまとめています。基本的にはDXに関する項目が多いですが、APIに関する項目やそのセキュリティに関する記載があるので本記事に掲載いたしました。
DXを推進する企業への実践的なガイドラインとして DX実践手引書 を公開しています。
DXを推進するための あるべき姿、それを実現するための 方法論 からなり、経済産業省のDXレポート2、2.1やIPAによるDX先進企業の調査結果を反映しています。
https://www.ipa.go.jp/ikc/our_activities/dx.html#section7
DX実践手引書はシステムだけでなく、DX促進のために必要な組織やアジャイル開発等にも記載があるので経営層などにもとても参考になる資料になってます。DXそのままの組織で進めてねとだけ言われて丸投げされた場合にも経営層に組織を作らないと進みませんよと説得するのにも使えるかと思います。
セキュリティ・バイ・デザイン導入指南書
セキュリティ・バイ・デザイン導入指南書はIPAが発行しているセキュリティ・バイ・デザイン実践の⼊⾨書になります。システム開発に関するセキュリティのガイドラインとして活用できる資料になっています。また本ガイドラインは導入指南書として以下工夫がされており、セキュリティ初心者でも読める内容になっています。
- 軽快な文章
- 図表を多用したグラフィカルな見た目
- キャラクターのセリフに共感しながら理解ができる
資料内にも記載があるセキュリティ・バイ・デザインについてと本ドキュメントの詳細は以下になります。
セキュリティ・バイ・デザインとは、製品の企画や設計のフェーズからセキュリティ対策を組み込むことで、サイバーセキュリティを確保しておく考え⽅である。
このドキュメントはセキュリティ・バイ・デザイン実践の⼊⾨書である。セキュリティ・
https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/security-by-design.html
バイ・デザインを実践するためには、開発プロセスや開発⼿法、ネットワークやシステムア
ーキテクチャ設計などの開発技術、脅威分析やセキュリティ対策⼿法など幅広い知識を必
要とするが、本⽂書を通してセキュリティ・バイ・デザインそのものに対する理解を深め、
セキュアな開発を実践するための第⼀歩を踏み出してほしい。
本⽂書はシステム開発のプロジェクト管理者および開発担当者を対象読者として想定し
ている。
政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
ひとつ前にご紹介したIPAのセキュリティ・バイ・デザイン導入指南書が導入部分だとしたら更に具体的にセキュリティ・バイ・デザインについて記載があり、管理体制や組織についても記載がある資料です。またデジタル庁が発行していて政府情報システムに対してのセキュリティ・バイ・デザインなので政府情報システムというセキュリティ要件が高いものを想定したガイドラインになってます。
情報システムに対して効率的にセキュリティを確保するためには、情報システムの企画から運用まで一貫したセキュリティ対策(セキュリティ・バイ・デザイン)を実施する必要がある。本文書はシステムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義する。
https://www.digital.go.jp/resources/standard_guidelines/
https://www.digital.go.jp/resources/standard_guidelines/
DS-200 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
ゼロトラストアーキテクチャ適用方針
ゼロトラストアーキテクチャ適用方針はデジタル庁が発行する政府情報システムを想定してゼロトラストセキュリティをどのように適用すべきかの方針を具体的に記載した資料です。境界型セキュリティではなくなぜゼロトラストセキュリティが必要かの説明から具体的な対策に関して記載があります。
クラウドサービスの利活用拡大や、リモートワーク等の業務環境の変化に伴い、従来の境界型のセキュリティモデルだけでは、近年の高度化したサイバー攻撃を完全に予防・防御することは困難になってきており、ゼロトラストな考え方の適用が求められている。本文書は、ゼロトラスト・アーキテクチャを適用するための基本方針を説明するとともに、導入時の留意事項について述べる。
https://www.digital.go.jp/resources/standard_guidelines/
https://www.digital.go.jp/resources/standard_guidelines/
DS-210 ゼロトラストアーキテクチャ適用方針
情報セキュリティ強化のために役立つおすすめ書籍
情報セキュリティついてガイドライン、チェックシート等では固くとっかかりにくいという方や実際の体験談や事例を知りたい等方は以下の書籍もお勧めです。私自身ガイドラインだけではなかなか具体的な事例や情報セキュリティについて理解を深めたい際に以下書籍を読んで理解を深めました。
「CISOハンドブック」は現在情報セキュリティはCISO(Chief Information Security Officer)の役職ができ、経営層として取り組む必要があって作成された資料です。情報システム部門のセキュリティ担当の方が経営観点を学んでCISOを目指しすために必要な知識を付けていくものになります。最終的なキャリアパスとしてCISOを目指しす方やセキュリティに携わり上を目指す上で必要な知識や考え方を知れる良書だと思います。
まとめ
今回は情報セキュリティ強化のための参考になるガイド、チェックシート一覧をまとめました。
情報セキュリティを強化するといっても何も参考にせずに進められる人はなかなかいないかと思いますのでこの記事が参考になればと思います。
今後もセキュリティ強化に参考になりそうなものがあれば追記していきます。
またセキュリティ関連記事として以下も記載していますので興味がある方は参考にしていただければと思います。
