業務をやっているとたまにセキュリティチェックシートの記入やセキュリティ的に問題ないかガイドラインを確認する機会があります。
その際、いつも「あれ?この情報ってどこにのってるんだっけ?」とGoogle検索を彷徨うことが多々ありました。
なので、あとで自分ですぐに目的のサイトにたどり着けるように、セキュリティ関連の参考サイトやガイドラインなどの資料の提供先を整理しておきます。
ポータルサイト
ここからセキュリティ
警察庁、総務省と経済産業省が民間事業者等と共同で情報セキュリティに関するあらゆる情報を集約しているポータルサイト。
名前の通り、このサイトを見ればだいたいの情報にたどりつけそうなくらい情報量が多いです。
独立行政法人情報処理推進機構(IPA)が運営しています。
みんなで使おうサイバーセキュリティ・ポータルサイト
サイバーセキュリティに関する情報を幅広く提供するサイトです。
さまざまなユーザー層に向けたセキュリティ対策ガイドや教育資料、最新の施策や事例がまとめられており、初心者から専門家まで、サイバーセキュリティに関心のあるすべての人におすすめです。
内閣府サーバセキュリティセンター(NISC)が運営。
中小企業向けサイバーセキュリティ対策の極意
東京都が提供するサイバーセキュリティに関する情報ポータルです。
個人や企業向けに、サイバーセキュリティの基礎知識、最新の脅威情報、具体的な対策方法などを提供しています。また、セキュリティに関する講座やイベントの情報も掲載されています。
このサイトは、サイバーセキュリティに関心があるすべての人、特に東京都内の企業や個人におすすめです。
東京都産業労働局が運営しています。
教育コンテンツ
映像で知る情報セキュリティ
情報セキュリティに関する脅威や対策などを学ぶための映像コンテンツがYouTube上で公開されています。
情報セキュリティに関する基本的な知識を学びたい人におすすめです。
独立行政法人情報処理推進機構(IPA)が運営しています。
直近のセキュリティ動向
情報セキュリティ10大脅威
各年における個人や組織で拡大しているセキュリティの脅威が紹介されています。
情報セキュリティ分野での最新の脅威を知りたい方におすすめです。
独立行政法人情報処理推進機構(IPA)が運営しています。
情報セキュリティ白書
情報セキュリティ分野の最新動向、脅威、対策について詳細に解説しています。
ITセキュリティの最新動向や脅威に対する対策を理解したい方におすすめです。
独立行政法人情報処理推進機構(IPA)が運営しています。
サイバーセキュリティ関連
国民のためのサイバーセキュリティサイト
幅広い層を対象にしたサイバーセキュリティの基礎知識、事前対策、被害事例とその対処法を紹介しています。
家庭や職場での具体的なセキュリティ対策や、初心者向けのガイドラインも提供しており、日常的にインターネットを利用するすべての人におすすめです。
総務省が運営しています。
サイバーセキュリティ経営ガイドラインVer 3.0 実践のためのプラクティス集
企業がサイバーセキュリティ経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を提供しています。
経営者やIT管理者が、組織全体でセキュリティを強化し、リスクを管理するための具体的な方法を学べる内容です。
特に、セキュリティ投資の効果や経済的視点からのセキュリティ対策を知りたい方におすすめです。
独立行政法人情報処理推進機構(IPA)が運営しています。
サイバー・フィジカル・セキュリティ対策フレームワーク
産業分野におけるサイバーセキュリティと物理的セキュリティを統合的に確保するためのガイドラインを提供しています。特に、サプライチェーン全体を守るためのセキュリティ対策を重視しており、「Society 5.0」や「Connected Industries」に向けた指針が示されています。
この資料は、産業界のセキュリティ担当者や経営層、政策立案者におすすめです。
経済産業省が運営しています。
セキュリティ対応組織の教科書
SOC(セキュリティオペレーションセンター)とCSIRT(コンピュータセキュリティインシデント対応チーム)を設立・管理するためのガイドです。
セキュリティ対応組織の重要性、運営プロセス、効果測定などが詳しく説明されており、国際標準(ITU-T X.1060)に沿った最新の内容が含まれています。
日本セキュリティオペレーション事業者協議会(ISOG-J)。
情報セキュリティ関連
情報セキュリティに関する各種フレームワークの概要
個人や企業がサイバーセキュリティに対する意識を高めるための知識や対策方法を紹介しています。
具体的には、サイバー攻撃の手口や被害事例、予防策について説明しており、セキュリティ教育の一環として利用できる内容が含まれています。
サイバーセキュリティの基本を学びたい個人、企業のセキュリティ担当者におすすめです。
東京都産業労働局が運営しています。
情報セキュリティ管理基準
組織の情報セキュリティマネジメント体制を構築し、適切なコントロールを整備・運用するためのガイドラインです。ISO/IEC 27001や27002に基づいており、組織の業種や規模にかかわらず適用可能な汎用的な基準です。
この資料は、情報セキュリティマネジメントシステム(ISMS)を構築・運用する企業や、セキュリティ監査を受ける組織のIT管理者やセキュリティ担当者におすすめです。
経済産業省が発行しています。
情報セキュリティサービス基準適合サービスリスト
IPAが提供する情報セキュリティサービスのリストです。
経済産業省が策定した基準に適合するサービスが掲載されており、情報セキュリティサービスを利用する際の参考資料として利用できます。
特に、企業のセキュリティ担当者や経営者が、信頼性の高いセキュリティサービスを選定する際に役立ちます。
独立行政法人情報処理推進機構(IPA)が運営しています。
ITセキュリティ評価及び認証制度(JISEC)
IT関連製品のセキュリティ機能を第三者が評価し、その結果を認証する制度について説明しています。
この制度は、国際標準であるISO/IEC 15408に基づいており、主に政府調達や企業のセキュリティ基準に準拠するための製品選定に役立ちます。
セキュリティ製品の信頼性を確保したい企業のIT担当者やセキュリティ専門家におすすめです。
独立行政法人情報処理推進機構(IPA)が運営しています。
中小企業の情報セキュリティ対策ガイドライン
中小企業向けにセキュリティ対策の具体的な指針や実践方法を提供しています。
経営者向けのガイドラインや、テレワークの安全な実施、セキュリティインシデント対応の手引きなど、最新の社会動向に合わせた情報が含まれています。
特に中小企業のIT管理者や経営者におすすめの内容です。
独立行政法人情報処理推進機構(IPA)が運営しています。
機密情報関連
秘密情報の保護ハンドブック
企業が保有する「秘密情報」を適切に管理するためのガイドラインを提供しています。
具体的には、秘密情報の把握・評価、漏えい防止対策、社内体制の構築、そして万が一の漏えい時の対応について詳細に説明されています。
また、法的保護の観点や国際的なセキュリティ基準に基づいた対策も含まれています。
この資料は、企業の経営者、IT管理者、セキュリティ担当者におすすめです。
重要情報を扱うシステムの要求策定ガイド Ver. 1.0
国民生活や経済活動に重要な情報を保護するためのシステムに対する要求項目を策定するためのガイドラインです。
具体的には、システムの利便性と自律性を確保するための要求項目の整理方法や、リスク分析、対策の選定方法が示されています。
この資料は、重要情報を扱うシステムの管理者やITセキュリティ担当者におすすめです。
政府情報システム
政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
政府機関の情報システムにおいて、システム開発から運用までの全ライフサイクルを通じて一貫したセキュリティ対策を実施するためのガイドラインです。
DevSecOpsの考え方に基づき、各工程でのセキュリティ要件の定義、リスク管理、運用手順の整備などが含まれています。
この資料は、政府機関のIT管理者、セキュリティ担当者、システム開発者におすすめです。
政府情報システムのためのセキュリティ評価制度(ISMAP)
政府情報システム向けクラウドサービスのセキュリティ評価制度(ISMAP)に関する情報を提供しています。
政府機関がクラウドサービスを調達する際のセキュリティ基準や、評価を通じたサービス登録手続きなどについて解説しています。
特に、クラウドサービスプロバイダーや政府機関の調達担当者におすすめの内容です。
クラウド関連
ISMAP クラウドサービスリスト
ISMAP(政府情報システム向けクラウドサービスのセキュリティ評価制度)に登録されたクラウドサービスの一覧を提供しています。
政府機関が安全に利用できるクラウドサービスを選定する際に役立ちます。
クラウドサービスプロバイダーや政府調達担当者、セキュリティを重視する企業のIT担当者におすすめです。
中小企業のためのクラウドサービス安全利用の手引き
中小企業がクラウドサービスを安全かつ効果的に利用するためのガイドです。
クラウドの基礎知識や活用事例、利用時の注意点、リスク管理方法、セキュリティ対策などが解説されています。
特に、ITに不慣れな中小企業の経営者やIT担当者におすすめの内容です。
この資料を活用することで、クラウドサービス導入の判断や安全利用をサポートできます。
暗号化と認証関連
CRYPTREC暗号リスト(電子政府推奨暗号リスト)
電子政府の調達で参照すべき推奨暗号技術をまとめたリストを提供しています。
暗号技術の安全性と実装性能を評価し、推奨暗号、候補暗号、運用監視対象の暗号をリストアップしています。
政府機関や公共団体でのシステム調達に関連するIT担当者、セキュリティ専門家に特におすすめです。
アプリケーションセキュリティ
ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引 Ver. 1.0
ソフトウェアの部品表(SBOM: Software Bill of Materials)を導入するためのガイドラインです。
SBOMを活用してソフトウェアの透明性を高め、依存関係や脆弱性の管理を改善し、開発効率を向上させる方法が解説されています。
特に、ソフトウェアの提供者、セキュリティ管理者、SBOMの導入を検討している企業向けにおすすめです。
OSS の利活用及びそのセキュリティ確保に向けた管理手法に関する事例集
オープンソースソフトウェア(OSS)の利活用とそのセキュリティ管理に関する事例をまとめたものです。
日本国内および海外の企業がどのようにOSSを活用し、そのセキュリティリスクに対応しているかについて、具体的な事例を通じて解説しています。
OSSの管理手法やセキュリティ対策を学びたい企業のIT管理者やセキュリティ担当者に特におすすめです。
セキュア・プログラミング講座
ソフトウェア開発における脆弱性対策とセキュリティ向上のためのガイドです。
脆弱性への対処法、設計・実装の原則、脅威モデリング、開発プロセス、必要なセキュリティ機能などが詳しく説明されています。
特に、ソフトウェア開発者、プロジェクトマネージャ、セキュリティ担当者におすすめです。
Top 10 Secure Coding Practices
カーネギーメロン大学のソフトウェアエンジニアリング研究所(SEI)が提供する「セキュアコーディングのためのトップ10の実践」が紹介されています。
安全なソフトウェアを書くための基本的なガイドラインが示されており、入力の検証や認証・認可の管理、エラーハンドリングなどが含まれます。
ソフトウェア開発者やセキュリティ専門家に特におすすめです。
安全なウェブサイトの作り方
ウェブサイトのセキュリティ対策に関するガイドラインを提供しています。
主にウェブ開発者や運営者向けで、SQLインジェクションやクロスサイト・スクリプティングなどの脆弱性への対策を詳しく説明しています。
また、セキュリティ実装のチェックリストや失敗事例も掲載されており、実践的なセキュリティ強化の手助けになります。
安全なSQLの呼び出し方
ウェブサイトのセキュリティを強化するため、特にSQLインジェクション攻撃を防止するための具体的な方法を紹介しています。
リテラルの安全な処理方法や、プレースホルダの使用によるSQL文の組み立て方法など、技術的なガイドラインが含まれています。
この資料は、ウェブ開発者やデータベース管理者、セキュリティ担当者におすすめです。
ウェブ健康診断仕様
ウェブアプリケーションの脆弱性診断を行うためのガイドラインです。
地方自治体や中小企業向けに、SQLインジェクション、クロスサイトスクリプティング、セッション管理の不備など、主要な脆弱性を検査する方法を示しています。
この診断は、基本的なセキュリティ対策ができているかを確認するために役立ちます。
特に、ウェブサイトの運営者や開発者、セキュリティ担当者におすすめです。
Web Application Firewall (WAF) 読本
Webアプリケーションを保護するためのWAF(Web Application Firewall)に関するガイドです。
WAFの基本的な機能や設置場所、導入方法、運用事例などが詳しく説明されています。
また、オープンソースと商用製品のWAFに関する情報も含まれています。
この資料は、Webアプリケーションのセキュリティ強化を検討しているWebサイト運営者やセキュリティ担当者に特におすすめです。
Web Application Firewallの導入に向けた検討項目
WAFの製品やサービスの種類、選択基準、運用負荷、アウトソーシングの可能性などが詳しく説明されており、導入前の検討に役立つ内容となっています。
特に、ウェブアプリケーションを保護するためにWAFの導入を検討している企業のセキュリティ担当者やIT管理者におすすめです。
脆弱性
脆弱性対策の効果的な進め方(ツール活用編)
脆弱性検知ツール「Vuls」を活用した脆弱性対策の進め方を解説しています。
脆弱性対策の考え方、ツールの導入・運用方法、具体的な検証結果が紹介されています。
企業のIT管理者やセキュリティ担当者が、効果的に脆弱性対策を進めるための参考になる資料です。
脆弱性ハンドブック
情報システムやソフトウェアの脆弱性に対応するためのガイドラインを提供しています。
脆弱性の概要や実際のトラブル事例、脆弱性対応の意義、対策手順、法的な問題、国際標準など、脆弱性管理に関する幅広い情報が含まれています。
特に、企業のセキュリティ担当者、ソフトウェア開発者、ウェブサイト運営者におすすめの内容です。