サイバーセキュリティ情報インプット集 第1.0版

定期的に更新・追加していきます。

セキュリティガイドライン、フレームワーク集

サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。
ただ、これらの文書の要件を満たすような施策を実施するためには、

1. 自組織が適用（組織・技術的に対策）したい各種ガイドラインやフレームワーク等を選定する
2. これら文書における抽象的な要件を具体的な要件へ落とし込む
3. 具体的な要件を満たすために最適なセキュリティ策を実施する

のような流れを踏む必要があります。
2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。
また、業界や技術等の軸で存在感のあるガイドラインやフレームワークを学習することは、セキュリティスタンダードを勉強することにもつながります。
※分類が重複する場合は組織、業界を優先して整理しました

組織、業界別ガイドライン集

サイバーセキュリティマネジメント

※企業又は組織におけるサイバーセキュリティの確保に組織的・体系的に取り組むこと

名称	概要	発行元
JIS Q 27001（ISO/IEC 27001）:2023	ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供する	JIS(ISMS),2023
組織における内部不正防止ガイドライン	企業やその他の組織において必要な内部不正対策を効果的に実施可能とする	IPA,2023
CSIRTマテリアル	組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成したものです。これから自組織内にCSIRTを構築しようと考えている組織の方が、それまでのインシデント対応経験をもとに、既存の体制を整理したり、見直したりしてCSIRTの構築に繋げる際の参考とする	JPCERT,2021/11/30
CSIRT 人材の定義と確保 Ver.2.1	各企業のCSIRTにおいて必要な機能、体制、人材を明確にすることによって、CSIRTの継続的な活動を支援する	一般社団法人日本シーサート協議会,2021
CSIRT人材の育成 Ver1.0	CSIRT ⼈材の定義と確保 Ver.2.11」により定義された CSIRT に必要な役割とスキルをベースとして、その役割毎にどのように育成していくのかという解決策、また要員不⾜に対しては兼任できる役割をグループ化して育成するという解決策を WG メンバーのベストプラクティスとして集約する	一般社団法人日本シーサート協議会,2022
セキュリティ対応組織の教科書 第3.1版	インシデント対応やセキュリティ運用、脆弱性診断など、セキュリティに関わる業務を広範に整理し、内製（インソース）か外注（アウトソース）かなども含め、組織としてどのように全体観を持ってサイバーセキュリティ対応を実現するか方向性を示す	ISOG-J,2023
セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」第 2.0 版	セキュリティ対応組織としてSOCやCSIRTのセキュリティ技術者が利用する「情報」を5W1Hの観点で整理し、「サイバーセキュリティ情報共有における 5W1H」について、順を追ってその考え方をまとめる	ISOG-J,2019
証拠保全ガイドライン 第９版	デジタル・フォレンジック研究会として、我が国における同関連技術の普及を目指す立場から、上述した状況に首尾よく対処できる能力の底上げを図りつつ、我が国における電磁的証拠の保全手続きの参考として、さまざまな事案の特性を踏まえた知見やノウハウをまとめた	特定非営利活動法人デジタル・フォレンジック研究会,2023
事業継続ガイドライン	民間企業を主な対象とした内容を多く記載しているが、業種・業態・規模を問わず、全ての企業・組織を対象とし、事業継続の取組、すなわち事業継続計画（BCP）を含めた事業継続マネジメント（BCM）の概要、必要性、有効性、実施方法、策定方法、留意事項等を示すことで、我が国の企業・組織の自主的な事業継続の取組を促し、ひいては我が国全体の事業継続能力の向上を実現する	内閣府,2023

経営層、CISO向け

名称	概要	発行元
CISO ハンドブック V1.1β	CISOに対して、ビジネスの基本的な枠組みを整理したうえで明確にすべきセキュリティ上の目標、指標及び施策を評価可能な判断基準を提供している	JNSA（日本ネットワークセキュリティ協会）,2018
サイバーセキュリティ経営ガイドライン V3.0	経営者のリーダーシップの下でサイバーセキュリティ対策を推進することを目的とし、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部に指示すべき「重要10項目」を整理している	経済産業省,2023
サイバーリスクハンドブック 取締役向けハンドブック 日本版	ISAとNACDが発行したハンドブックの日本版であり、企業経営において業務執行をする立場および業務執行を管理監督する立場にある取締役の方々を対象に、取締役の方々が企業経営リスクへの対処策を検討、議論する際に考慮すべき事項を整理している	経団連

中小企業向け

名称	概要	発行元
中小企業の情報セキュリティ対策ガイドライン	個人事業主や小規模事業者を含む中小企業が情報セキュリティ対策に取り組む際の(1)経営者が認識し実施すべき指針（経営者編）(2)社内において対策を実践する際の手順や手法（実践編）をまとめている	IPA,2024
中小企業において目指すSecurity By Design	経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討	JNSA,2020/11/20

政府情報システム

名称	概要	発行元
政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 (PDF)	政府情報システムのシステム方式について、クラウドサービスの採用をデフォルト（第一候補）としつつ、単にクラウドを利用するのではなく、クラウドを適切（スマート）に利用するための考え方等を示した標準ガイドラインとなる	デジタル社会推進会議幹事会,2023
ISMAP-政府情報システムのためのセキュリティ評価制度	政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等（各府省庁等及び独立行政法人等）におけるクラウドサービスの円滑な導入に資する	NISC、デジタル庁、総務省、経済産業省,2024
デジタル社会推進標準ガイドライン	サービス・業務改革並びにこれらに伴う政府情報システムの整備及び管理についての手続・手順や、各種技術標準等に関する共通ルールや参考ドキュメント	デジタル庁,2023

医療セキュリティ

名称	概要	発行元
医療情報システムの安全管理に関するガイドライン第6.0版	医療情報のシステムに関わるもの全てを対象とし、医療情報システムの運用を行う医療機関の視点から、医療情報の取り扱いについて具体的な規定を示す	厚生労働省,2023
医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン1.1版	契約に基づいて医療情報システムなどを提供する事業者などを対象とし、準拠を求めるリスクマネジメントや制度上の要求事項を示す	総務省、経済産業省,2023/3/29

製品・制御セキュリティ

名称	概要	発行元
IoTのセキュリティ	「IoT開発におけるセキュリティ設計の手引き」や「ENISAによるIoT Security Standards Gap Analysis」等の調査報告書やガイドライン等が掲載されているIPAのまとめサイト	IPA,2023/3/29
IoTセキュリティチェックリスト	システム/IoTデバイスの開発者がチェックすべきことと、利用者がチェックすべきことを、IoTデバイスが脅威の存在する環境における安全に運用するために実装しておきたい39のセキュリティの機能としてそ背景とともにまとめ、一覧表にしている	JPCERT/CC,2019/6/27
IoT機器セキュリティ要件ガイドライン2023年版_v1.0(CCDS-GR01-2023)	つながる機器における最低限守るべき要件(対策レベル：★星一つ)を定義し、チェックリスト等を用いて確認がしやすいようになっている	一般社団法人重要生活機器連携セキュリティ協議会,2022/11/16
CSA IoT Controls Matrix v3ガイド	IoTセキュリティコントロールフレームワークは、開発ライフサイクルを通じたセキュリティ実装をガイド・評価し業界固有のベストプラクティスを満たしているかどうかを確認するためのツールとして提供されている	CSA,2022/7/21
IoTセキュリティ手引書 Ver2.0	国際標準で規定されているセキュリティ要件を基に、安心安全なライフサイクル管理（設計・製造～サービス運用～廃棄）の実現を解説している	一般社団法人セキュアIoTプラットフォーム協議会,2022/1/31
Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03) 日本語翻訳版	中小規模の重要インフラ事業者がサイバーセキュリティの確保の取り組みを始める際の助けとなることを目指した基本的なサイバーセキュリティ対策の共通項を目標として提供する	CISA,2023
制御システムのセキュリティリスク分析ガイド 第2版	重要インフラや産業システムの基盤となっている制御システムのセキュリティを抜本的に向上させるのに重要な位置付けとなるセキュリティリスク分析を事業者が実施できるようにする	IPA,2023
ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン	ビルシステムのサイバーセキュリティに関して、その確保のためのガイダンスを示す	経済産業省,2023
J-CLICS STEP1／STEP2（ICSセキュリティ自己評価ツール）	制御システムのセキュリティ対策状況を把握する「チェックリスト」と、チェックリストの設問について取り組むべき具体策等がわかる解説書「設問項目ガイド」で構成されており、制御システムにおける効果的なセキュリティ対策を立案・実施するためにチェックリストおよび設問項目ガイドを提供する	JPCERT/CC,2023
工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン	工場システムのセキュリティ対策を実施する上で、参考となるような考え方やステップを示し、業界・業種の事情に応じたガイドラインを作成されるなど工場へのセキュリティ対策が立案・実行されることで、産業界全体、とりわけ工場システムのセキュリティの底上げが図る	産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場サブワーキンググループ、経済産業省,2022/11/16
制御系SIRTの機能を備えるための手引き（CSIRTマテリアル補完資料）	、JPCERT/CCと複数の製造事業者におけるICSセキュリティ担当者で形成したコミュニティで検討を行ってきた「制御系SIRT」が備えるべき能力やそのために必要な要件等について、実務者ベースで検討しこれまでに分かってきた知見をまとめている	JPCERT/CC,2024/03/27
サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）	ビルSWG、工場SWG、スマートホームSWG、ソフトウェアTF、第2層TF、第3層TFに分けて各産業分野の特性に応じたセキュリティ対策の検討する	経済産業省,2024

金融セキュリティ

名称	概要	発行元
金融機関等コンピュータシステムの安全対策基準・解説書（第12版）	金融機関等が、事業展開を行ううえで金融情報システムを活用するに際し、開発や導入、運用等において必要と考えられる安全対策を基準として示すとともに、基準項目ごとに、具体的な事例を交え解説する	FISC,2024

リモートワークセキュリティ

名称	概要	発行元
テレワークにおけるセキュリティ確保	企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示す	総務省,2021

セキュリティ人材

名称	概要	発行元
セキュリティ知識分野（SecBoK）人材スキルマップ2021年版	ITベンダー・セキュリティベンダーのみならず、多くの企業においてセキュリティ人材育成の際の参考とする	JNSA,2021

技術別ガイドライン集

クラウドセキュリティ

名称	概要	発行元
クラウドコンピューティングのためのセキュリティガイダンス V4.0	ビジネス視点で目標に向かうためのガイダンス、啓示、クラウド技術を採用することに伴うリスクを管理・緩和する術を示している	CSAJC,2018
クラウド重大セキュリティ脅威11の悪質な脅威	クラウドに関してコンプライアンス、リスク、テクノロジーのスタッフが使用することを意図した管理上の推奨事項と参照例を提供する	CSAJC,2019
クラウドの設定ミス対策ガイドブック	クラウドサービス利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するため、クラウドサービスの提供者・利用者双方が設定ミスを起こさないために講ずべき対策や、対策を実施する上でのベストプラクティスを示す	総務省,2024
AWS 基礎セキュリティ・ベスト・プラクティス (FSBP) 標準	AWSアカウントすべての作業負荷を継続的に評価して、ベストプラクティスから逸脱している領域を迅速に特定し、組織のセキュリティ体制を改善および維持する方法について実践的かつ規範的なガイダンスを提供する	AWS
Azure セキュリティのベスト プラクティスとパターン	セキュリティで保護された Azure ソリューションの構築とデプロイを行う設計者、アーキテクト、開発者、テスト担当者に向けたセキュリティベストプラクティスを示す	Microsoft,2024

ウェブセキュリティ

名称	概要	発行元
安全なウェブサイトの作り方	IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料	IPA,2021/3/31
OWASP Top 10	「OWASP」がWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された項目をまとめ、定期的（2~3年周期）に発行しているセキュリティレポート	OWASP,2021

ソフトウェアセキュリティ

名称	概要	発行元
セキュリティ・バイ・デザイン導入指南書	セキュリティ・バイ・デザイン実践の⼊⾨書。セキュリティ・バイ・デザインを実践するために必要な開発プロセスや開発⼿法、ネットワークやシステムアーキテクチャ設計などの開発技術、脅威分析やセキュリティ対策⼿法など幅広い知識を整理	IPA,2022/8/30
JPCERT セキュアコーディング公開資料	脆弱性のない、安全なソフトウエア開発のためのセミナー、コーディングのルールやそのマテリアル、書籍に関する情報を紹介	JPCERT,2016/6/23
Software-Defined Perimeterアーキテクチャガイド（ニュース）	企業や専門家がSDP (Software Defined Perimeter) に関する情報を取得するのを支援	CSA,2022/3/10

脆弱性対策

名称	概要	発行元
IPA脆弱性対策コンテンツリファレンス	脆弱性対策に関するIPAの取り組みや公開資料やツールなどを網羅的に紹介しているリファレンス集	IPA,2024/4
情報セキュリティ早期警戒パートナーシップガイドライン	脆弱性関連情報が発見された場合に、それらをどのように取り扱うべきかを示した	IPA・JPCERT,2022/5
セキュリティ担当者のための脆弱性対応ガイド ～企業情報システムの脆弱性対策～（PDF）	組織内の情報セキュリティを担当する方、特に情報システム分野に必ずしも詳しくない方を想定し`,セキュリティ担当者が、情報システムの脆弱性に対処する基本的な考え方を紹介する	IPA・JPCERTなど,2017/3
ウェブサイト構築事業者のための脆弱性対応ガイド ～ウェブサイト構築にかかわるすべての人に～（PDF）	ウェブサイトの構築を行うウェブサイト構築事業者の方を想定し、ウェブサイトに脆弱性を残さないようにするために行うべきことはなにか、またウェブサイトの脆弱性が発見された場合にどう対処するかを紹介する	IPA・JPCERTなど,2017/3
ウェブサイト運営者のための脆弱性対応ガイド（PDF）	中小企業の皆様がインターネットに公開するウェブサイト（ホームページ）をサイバー攻撃から守り、安全に運用するために大切な「脆弱性対策」を紹介する	IPA・JPCERTなど,2021/3
政府情報システムにおける脆弱性診断導入ガイドライン（PDF）	政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及びガイダンスを提供する	デジタル庁,2024/1/31
WE Top 25 Most Dangerous Software Weaknesses	This list demonstrates the currently most common and impactful software weaknesses	MITRE,2023

ログ管理

名称	概要	発行元
高度サイバー攻撃への対処におけるログの活用と分析方法	高度サイバー攻撃への備えと効果的な対処の観点から、一般的に利用される機器に、攻撃者の活動の痕跡をログとして残すための考え方、それらのログから痕跡を見つけ出す方法などを記載する	JPCERT,2022

履歴

更新日	更新内容	版
2024/5/18	日本国内における主要なサイバーセキュリティ関連のガイドライン・フレームワーク等を追加	第1.0版
2024/5/22	不備修正	第1.1版