【経緯】
CompTIA Security+を受けるにあたり、頻出のセキュリティフレームワーク・規格・ガイドラインまとめてみた。(セキュリティ以外のフレームワーク等も頻出であるのでそれも含む)
【目次】
- 1.NIST Cybersecurity Framework
- 2.NIST SP 800シリーズ
- 3.ISO 27001
- 4.PCI DSS
- 5.HIPPA
- 6.GDPR
- 7.SOX法
- 8.COBIT
- 9.SOC 2
- 10.CIS Control
- 11.OWASP Top 10
- 12.ITIL
- 似ているものの比較表
- 覚え方
- セキュリティ主要フレームワーク&規格まとめ
1. NIST Cybersecurity Framework
✅NIST Cybersecurity Framework(CSF)とは
→ アメリカ政府(NIST:米国国立標準技術研究所)が定めたセキュリティフレームワーク
✅CSFの基本構成
✅NIST SPとの違い
CSFは“全体指針”、SPシリーズは“実装ガイド”。
(例:SP800-61はインシデント対応)
2. NIST SP 800シリーズ
✅NIST SP800シリーズとは
分野別の実務ガイドライン集
NIST SP800シリーズ頻出
✅NIST SP 800-53
→情報システムのセキュリティ管理策の一覧。どんな対策をすれば安全かを体系化。
✅NIST SP 800-61
→インシデント発生時の対応手順を定義。
✅NIST SP 800-63
→ID・パスワード・多要素認証(MFA)などの設計・運用のガイド。
3. ISO 27001
✅ISO 27001とは
→国際規格(ISO)。組織全体のセキュリティ管理を体系化する国際標準
4. PCI DSS
✅PCI DSS(Payment Card Industry Data Security Standard)とは
→業界標準(クレジットカード業界)、クレジットカード情報を安全に扱うための国際基準。
5. HIPPA
✅HIPPA(Health Insurance Portability and Accountability Act)とは
→米国法(医療業界)、医療情報(PHI: Protected Health Information)の保護を義務化。
一言で言うと:🏥 医療情報の守り方ルール
6. GDPR
✅GDPR(General Data Protection Regulation)とは
→EU法(データ保護法)、EU市民の個人データ保護を義務化。越境データ移転や「忘れられる権利」も。
一言で言うと:🌍 EU版・個人情報保護法
✅個人の権利
-
データアクセス権(自分のデータを知る権利)
-
データ訂正権(間違いを直す権利)
-
消去権(「忘れられる権利」)
-
データポータビリティ権(他サービスに持ち出す権利)
7. SOX法
✅SOX法(Sarbanes–Oxley Act)とは
→米国法(企業統制)、企業の内部統制・財務報告の信頼性確保を目的。
一言で言うと:🧾 経営ガバナンス+IT統制
8. COBIT
✅COBIT(Control Objectives for Information and Related Technologies)とは
→ITガバナンス・フレームワーク(ISACA)
経営とITを結びつけ、組織のIT統制を体系化。企業がITを効果的に管理し、ビジネス目標を達成するための実践的なガイドラインを提供.
一言で言うと:🏢 経営目線のIT管理モデル
9. SOC 2
✅SOC2(System and Organization Controls)とは
→監査レポート(AICPA)
クラウドやSaaS提供者の内部統制を監査する仕組み。
「クラウドベンダーのセキュリティを第三者が評価する仕組み」
一言で言うと:☁️ クラウド企業の“信頼証明書”
10. CIS Control
✅CIS Controls(Center for Internet Security Controls)とは
→実践ガイド(CIS)、実務的な20個のセキュリティベストプラクティスを提示。
11. OWASP Top 10
✅OWASP Top 10とは
→Webアプリケーションの脆弱性トップ10をまとめたリスト
開発者やセキュリティ担当が「Webのどこに注意すべきか」を理解するための指針
12. ITIL
✅ITILとは
→Information Technology Infrastructure Library
ITサービスを効率的に管理・改善するための世界共通のベストプラクティスをまとめたフレームワーク。
似ているものの比較表
覚え方
セキュリティ主要フレームワークと規格まとめ
今までまとめてきた主要フレームワーク早見表
| No | 名称 | 種類 / 制定組織 | 目的・概要 | 試験で問われるポイント | 一言イメージ |
|---|---|---|---|---|---|
| 1 | ISO/IEC 27001(ISMS) | 国際規格(ISO) | 組織の情報セキュリティマネジメントを体系化。PDCAモデルで運用。 | 「リスク管理・管理体制構築」を問われる。 例:「組織全体でセキュリティ管理を実施する国際標準は?」 |
📘 管理体制のルールブック |
| 2 | NIST CSF(Cybersecurity Framework) | 米国政府(NIST) | セキュリティ対策を「特定→防御→検知→対応→復旧」の5フェーズで体系化。 | リスクベースのセキュリティ運用フレームワークとして問われる。 | 🇺🇸 米国標準のセキュリティ地図 |
| 3 | NIST SP 800-53 | NIST(米国標準技術研究所) | 情報システムのセキュリティコントロール(管理策)一覧。 | セキュリティコントロール定義のガイドとして出題。 | 🧱 セキュリティ対策カタログ |
| 4 | NIST SP 800-61 | NIST | インシデント対応手順のガイドライン。 | インシデントレスポンスの4フェーズ(準備→検出→対応→教訓化)が出題。 | 🚨 対応マニュアル |
| 5 | NIST SP 800-63B | NIST | 認証・MFA・パスワード設計のガイドライン。 | パスワードポリシーやMFA関連で出題。 | 🔐 認証の教科書 |
| 6 | PCI DSS(Payment Card Industry DSS) | 業界標準(クレジットカード業界) | クレジットカード情報を安全に扱うための国際基準。 | 「クレカ情報を扱う企業が守るべきセキュリティ基準」。暗号化やアクセス制御が焦点。 | 💳 カード情報の守り方 |
| 7 | HIPAA(Health Insurance Portability and Accountability Act) | 米国法(医療業界) | 医療情報(PHI)の保護を義務化。 | 医療データ保護・アクセス制御・監査の文脈で出題。 | 🏥 医療情報のルール |
| 8 | GDPR(General Data Protection Regulation) | EU法(データ保護法) | EU市民の個人データ保護を義務化。 | 「データ主体の権利」「個人情報保護法規」として出題。 | 🌍 EUの個人情報保護法 |
| 9 | SOX法(Sarbanes–Oxley Act) | 米国法(企業統制) | 財務報告・内部統制の信頼性を確保。 | 内部統制や証跡管理の文脈で登場。 | 🧾 企業ガバナンス法 |
| 10 | COBIT(Control Objectives for Information and Related Technologies) | ISACA(ITガバナンス) | 経営とITを結びつけ、組織のIT統制を体系化。 | ITガバナンス・経営統制の問題で出題。 | 🏢 経営×ITの橋渡し |
| 11 | SOC 2(System and Organization Controls) | AICPA(米国公認会計士協会) | クラウド・SaaS提供者の内部統制を監査する仕組み。 | 「クラウドベンダーのセキュリティを第三者が評価する仕組み」。 | ☁️ クラウド企業の信頼証明 |
| 12 | CIS Controls(Center for Internet Security Controls) | CIS(米国) | 実務的な20項目のセキュリティベストプラクティスを提示。 | 基本的なセキュリティ対策リストとして出題。 | 🛡️ 現場向け行動指針 |
| 13 | CSA CCM(Cloud Controls Matrix) | Cloud Security Alliance | クラウド環境におけるリスク管理と統制を整理。 | クラウドセキュリティ関連問題で出る。 | ☁️ クラウドの安全基準表 |