情報セキュリティに関する基準

トップ 情報処理の知識体系 ストラテジ系 企業と法務 法務 セキュリティ関連法規 情報セキュリティに関する基準

情報セキュリティに関する基準、指針についてまとめています。

▲記事トップへ

目次

この記事の目次です。

1. 政府機関等の情報セキュリティ対策のための統一基準
2. サイバーセキュリティ経営ガイドライン
3. 中小企業の情報セキュリティ対策ガイドライン
4. 情報セキュリティ管理基準
5. サイバー・フィジカル・セキュリティ対策フレームワーク

もっと知識を広げるための参考
更新履歴

1. 政府機関等の情報セキュリティ対策のための統一基準

“政府機関等の情報セキュリティ対策のための統一基準（平成30年度版）”では、 機密性、完全性及び可用性それぞれの観点による情報の格付の区分を定義しています。

政府機関等の情報セキュリティ対策のための統一基準に関連したIPA情報処理試験の過去問

以下では政府機関等の情報セキュリティ対策のための統一基準に関連したIPA情報処理試験の過去問とその解説をまとめています。

• 平成31年春 問32 政府機関等の情報セキュリティ対策のための統一基準―情報セキュリティマネジメント試験 午前

2. サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインとは、経済産業省とIPAが策定したもので、 企業がIT活用を推進していく中で、サイバー攻撃から企業を守る観点で経営者が認識すべき3原則と、 情報セキュリティ対策を実施する上での責任者となる担当幹部に、経営者が指示すべき事項をまとめたものです。 3原則など概要を解説を解説していきます。

サイバーセキュリティ経営ガイドラインとは

サイバーセキュリティ経営ガイドラインとは、 大企業及び中小企業（小規模事業者を除く）のうち、ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者を対象に、 経営者のリーダーシップの下で、サイバーセキュリティ対策を推進するため、経済産業省とIPAが策定したガイドラインです。

前提となる考え方を示した文書

サイバーセキュリティの基本的な考え方と企業の視点別の取組方法について、考え方を示した文書（「企業経営のためのサイバーセキュリティの考え方」）を策定していて、 本ガイドラインの取組の前提となる考え方を示した文書となります。

3原則と重要10項目

経営戦略上、ITの利活用が不可欠な企業の経営者を対象として、 サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、 及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」をまとめています。

サイバーセキュリティ経営ガイドライン Ver2.0（平成29年11月16日公開）

「サイバーセキュリティ経営ガイドライン Ver2.0（平成29年11月16日公開）」は以下で公開されています。 Ver2.0は「サイバーセキュリティ経営ガイドライン改訂に関する研究会」でとりまとめたものです。

https://www.meti.go.jp/policy/netsecurity/mng_guide.html
https://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v2.0.pdf

補足）サイバーセキュリティとは

サイバーセキュリティとは、コンピューターへの不正侵入を仕掛ける攻撃の防御などサイバー領域のセキュリティを指します。 サイバーセキュリティを強化することによって、コンピューターへの不正侵入による機密情報の漏えいや、データの改ざんや破壊などのリスクが減らせます。

経営者が認識すべき3原則

以下は「経営者が認識すべき3原則」を簡単にしてみたものになります。

1. 経営者のリーダシップが重要
2. 自社以外（ビジネスパートナー等）にも配慮
3. 平時からのコミュニケーション・情報共有

サイバーセキュリティ経営ガイドラインの記述

サイバーセキュリティ経営ガイドラインには、「経営者が認識する必要がある3原則」を以下のように記載しています。

1. 経営者自身が率先してサイバーセキュリティリスクを認識し、対策を進めることが必要
2. 自社だけでなく関連企業、ビジネスパートナーを含めた関連企業すべてでセキュリティ対策が必要
3. 顧客や株主の信頼感を高めるために、常にサイバーセキュリティリスクの対策や情報開示をしておくなどの適切なコミュニケーションが必要

経営者自身が率先してサイバーセキュリティリスクを認識し、対策を進めることが必要

ビジネス展開や企業内の生産性の向上のためにITサービス等の提供やITを利活用する機会は増加傾向にあり、 サイバー攻撃が避けられないリスクとなっている現状において、経営戦略としてのセキュリティ投資は必要不可欠かつ経営者としての責務である。

また、サイバー攻撃などにより情報漏えいや事業継続性が損なわれるような事態が起こった後、 起業として迅速かつ適切な対応ができるか否かが会社の運命を分ける。

このため、サイバーセキュリティを多様な経営リスクの中での一つとして位置づけ、 サイバーセキュリティ対策を実施する上での責任者となる担当幹部（CISO等）を任命するとともに、 経営者自らがリーダーシップを発揮して適切な経営資源の分配を行うことが必要である。

自社だけでなく関連企業、ビジネスパートナーを含めた関連企業すべてでセキュリティ対策が必要

サプライチェーンのビジネスパートナーやシステム管理等の委託先がサイバー攻撃に対して無防備であった場合、 自社から提供した重要な情報が流出してしまうなどの問題が生じうる。

このため、自社のみならず、サプライチェーンのビジネスパートナーやシステム管理等の委託先を含めたセキュリティ対策を徹底することが必要である。

顧客や株主の信頼感を高めるために、常にサイバーセキュリティリスクの対策や情報開示をしておくなどの適切なコミュニケーションが必要

万一サイバー攻撃による被害が発生した場合、関係者と、平時から適切なセキュリティリスクのコミュニケーションができていれば、 関係者の不信感の高まりを抑えることができる。

このため、平時から実施すべきサイバーセキュリティ対策を行っていることを明らかにするなどのコミュニケーションを積極的に行うことが必要である。

サイバーセキュリティ経営の重要10項目

経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部（CISO等）に指示すべき「重要10項目」は以下です。

1. サイバーセキュリティリスクの認識、組織全体での対応方針の策定
2. サイバーセキュリティリスク管理体制の構築
3. サイバーセキュリティ対策のための資源（予算、人材等）確保
4. サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
5. サイバーセキュリティリスクに対応するための仕組みの構築
6. サイバーセキュリティ対策におけるPDCAサイクルの実施
7. インシデント発生時の緊急対応体制の整備
8. インシデントによる被害に備えた復旧体制の整備
9. ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
10. 情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供

サイバーセキュリティ経営ガイドラインに従った経営者の対応

サイバーセキュリティ経営ガイドラインに従った経営者の対応は、 サイバーセキュリティ人材を確保するために、適切な処遇の維持、改善や適切な予算の確保を指示するです。

サイバーセキュリティ経営ガイドライン解説書

IPAにより、「サイバーセキュリティ経営ガイドライン解説書」が公開されています。

IPAの「サイバーセキュリティ経営ガイドライン解説書」のURL

IPAの「サイバーセキュリティ経営ガイドライン解説書」のURLは以下です。

https://www.ipa.go.jp/files/000056148.pdf#search='サイバーセキュリティ経営ガイドライン解説書'

サイバーセキュリティ経営ガイドラインに関連したIPA情報処理試験の過去問

以下ではサイバーセキュリティ経営ガイドラインに関連したIPA情報処理試験の過去問とその解説をまとめています。

• 令和元年秋 問25 サイバー攻撃から企業を守る観点―ITパスポート
• 平成29年秋 問01 サイバーセキュリティ経営ガイドライン―情報セキュリティマネジメント試験 午前
• 平成30年秋 問6 サイバーセキュリティ経営ガイドライン―情報処理安全確保支援士（SC）午前Ⅱ

3. 中小企業の情報セキュリティ対策ガイドライン

中小企業の情報セキュリティ対策ガイドラインは、情報セキュリティ対策に取り組む際の、 （1）経営者が認識し実施すべき指針、 （2）社内において対策を実践する際の手順や手法をまとめたものです。 経営者編と実践編から構成されており、個人事業主、小規模事業者をも含む中小企業の利用を想定しています。

4. 情報セキュリティ管理基準

情報セキュリティ管理基準は、組織体が効果的な情報セキュリティマネジメント体制を構築し、適切なコントロール（管理策）を整備・運用するための実践的な規範として、経済産業省が策定したものです。

5. サイバー・フィジカル・セキュリティ対策フレームワーク

サイバー・フィジカル・セキュリティ対策フレームワークは、サイバー空間とフィジカル空間を高度に融合させることにより実現される「Society5.0」、 様々なつながりによって新たな付加価値を創出する「Connected Industries」における新たなサプライチェーン（バリュークリエイションプロセス）全体のサイバーセキュリティ確保を目的として、 産業に求められるセキュリティ対策の全体像を整理して、経済産業省が策定したものです。

もっと知識を広げるための参考

• 法務

  ITの法務をテーマにサイバーセキュリティ基本法などITの法律、ガイドライン、標準化一覧情報をまとめています。

• ストラテジ系

  情報処理試験対策用のサイトオリジナル教科書をテーマにストラテジ系の知識をまとめています。

更新履歴

このページの更新履歴です。

• 2022/8/12 サイバー・フィジカル・セキュリティ対策フレームワークについて追記しました。
• 2022/8/12 情報セキュリティ管理基準について追記しました。
• 2022/8/12 中小企業の情報セキュリティ対策ガイドラインについて追記しました。
• 2021/11/14 記事をUPしました。

戻る