定期的に更新・追加していきます。
セキュリティガイドライン、フレームワーク集
サイバーセキュリティガイドラインやフレームワーク等を参照することは、自組織でのセキュリティステータスを把握し、実際にセキュリティ施策を打つうえで非常に重要となります。
ただ、これらの文書の要件を満たすような施策を実施するためには、
1. 自組織が適用(組織・技術的に対策)したい各種ガイドラインやフレームワーク等を選定する
2. これら文書における抽象的な要件を具体的な要件へ落とし込む
3. 具体的な要件を満たすために最適なセキュリティ策を実施する
のような流れを踏む必要があります。
2、3についてはセキュリティ策や技術動向に精通したセキュリティ専門家による対応が求められますが、1については自組織が目指す目的に依存するため専門家の手を借りずともある程度は対応することができます。
また、業界や技術等の軸で存在感のあるガイドラインやフレームワークを学習することは、セキュリティスタンダードを勉強することにもつながります。
※分類が重複する場合は組織、業界を優先して整理しました
組織、業界別ガイドライン集
サイバーセキュリティマネジメント
※企業又は組織におけるサイバーセキュリティの確保に組織的・体系的に取り組むこと
| 名称 |
概要 |
発行元 |
| JIS Q 27001(ISO/IEC 27001):2023 |
ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供する |
JIS(ISMS),2023 |
| 組織における内部不正防止ガイドライン |
企業やその他の組織において必要な内部不正対策を効果的に実施可能とする |
IPA,2023 |
| CSIRTマテリアル |
組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成したものです。これから自組織内にCSIRTを構築しようと考えている組織の方が、それまでのインシデント対応経験をもとに、既存の体制を整理したり、見直したりしてCSIRTの構築に繋げる際の参考とする |
JPCERT,2021/11/30 |
| CSIRT 人材の定義と確保 Ver.2.1 |
各企業のCSIRTにおいて必要な機能、体制、人材を明確にすることによって、CSIRTの継続的な活動を支援する |
一般社団法人日本シーサート協議会,2021 |
| CSIRT人材の育成 Ver1.0 |
CSIRT ⼈材の定義と確保 Ver.2.11」により定義された CSIRT に必要な役割とスキルをベースとして、その役割毎にどのように育成していくのかという解決策、また要員不⾜に対しては兼任できる役割をグループ化して育成するという解決策を WG メンバーのベストプラクティスとして集約する |
一般社団法人日本シーサート協議会,2022 |
| セキュリティ対応組織の教科書 第3.1版 |
インシデント対応やセキュリティ運用、脆弱性診断など、セキュリティに関わる業務を広範に整理し、内製(インソース)か外注(アウトソース)かなども含め、組織としてどのように全体観を持ってサイバーセキュリティ対応を実現するか方向性を示す |
ISOG-J,2023 |
| セキュリティ対応組織(SOC/CSIRT)強化に向けたサイバーセキュリティ情報共有の「5W1H」第 2.0 版 |
セキュリティ対応組織としてSOCやCSIRTのセキュリティ技術者が利用する「情報」を5W1Hの観点で整理し、「サイバーセキュリティ情報共有における 5W1H」について、順を追ってその考え方をまとめる |
ISOG-J,2019 |
| 証拠保全ガイドライン 第9版 |
デジタル・フォレンジック研究会として、我が国における同関連技術の普及を目指す立場から、上述した状況に首尾よく対処できる能力の底上げを図りつつ、我が国における電磁的証拠の保全手続きの参考として、さまざまな事案の特性を踏まえた知見やノウハウをまとめた |
特定非営利活動法人デジタル・フォレンジック研究会,2023 |
| 事業継続ガイドライン |
民間企業を主な対象とした内容を多く記載しているが、業種・業態・規模を問わず、全ての企業・組織を対象とし、事業継続の取組、すなわち事業継続計画(BCP)を含めた事業継続マネジメント(BCM)の概要、必要性、有効性、実施方法、策定方法、留意事項等を示すことで、我が国の企業・組織の自主的な事業継続の取組を促し、ひいては我が国全体の事業継続能力の向上を実現する |
内閣府,2023 |
経営層、CISO向け
| 名称 |
概要 |
発行元 |
| CISO ハンドブック V1.1β |
CISOに対して、ビジネスの基本的な枠組みを整理したうえで明確にすべきセキュリティ上の目標、指標及び施策を評価可能な判断基準を提供している |
JNSA(日本ネットワークセキュリティ協会),2018 |
| サイバーセキュリティ経営ガイドライン V3.0 |
経営者のリーダーシップの下でサイバーセキュリティ対策を推進することを目的とし、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部に指示すべき「重要10項目」を整理している |
経済産業省,2023 |
| サイバーリスクハンドブック 取締役向けハンドブック 日本版 |
ISAとNACDが発行したハンドブックの日本版であり、企業経営において業務執行をする立場および業務執行を管理監督する立場にある取締役の方々を対象に、取締役の方々が企業経営リスクへの対処策を検討、議論する際に考慮すべき事項を整理している |
経団連 |
中小企業向け
| 名称 |
概要 |
発行元 |
| 中小企業の情報セキュリティ対策ガイドライン |
個人事業主や小規模事業者を含む中小企業が情報セキュリティ対策に取り組む際の(1)経営者が認識し実施すべき指針(経営者編)(2)社内において対策を実践する際の手順や手法(実践編)をまとめている |
IPA,2024 |
| 中小企業において目指すSecurity By Design |
経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討 |
JNSA,2020/11/20 |
政府情報システム
| 名称 |
概要 |
発行元 |
| 政府情報システムにおけるクラウドサービスの適切な利用に係る基本方針 (PDF) |
政府情報システムのシステム方式について、クラウドサービスの採用をデフォルト(第一候補)としつつ、単にクラウドを利用するのではなく、クラウドを適切(スマート)に利用するための考え方等を示した標準ガイドラインとなる |
デジタル社会推進会議幹事会,2023 |
| ISMAP-政府情報システムのためのセキュリティ評価制度 |
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、政府機関等(各府省庁等及び独立行政法人等)におけるクラウドサービスの円滑な導入に資する |
NISC、デジタル庁、総務省、経済産業省,2024 |
| デジタル社会推進標準ガイドライン |
サービス・業務改革並びにこれらに伴う政府情報システムの整備及び管理についての手続・手順や、各種技術標準等に関する共通ルールや参考ドキュメント |
デジタル庁,2023 |
医療セキュリティ
製品・制御セキュリティ
| 名称 |
概要 |
発行元 |
| IoTのセキュリティ |
「IoT開発におけるセキュリティ設計の手引き」や「ENISAによるIoT Security Standards Gap Analysis」等の調査報告書やガイドライン等が掲載されているIPAのまとめサイト |
IPA,2023/3/29 |
| IoTセキュリティチェックリスト |
システム/IoTデバイスの開発者がチェックすべきことと、利用者がチェックすべきことを、IoTデバイスが脅威の存在する環境における安全に運用するために実装しておきたい39のセキュリティの機能としてそ背景とともにまとめ、一覧表にしている |
JPCERT/CC,2019/6/27 |
| IoT機器セキュリティ要件ガイドライン2023年版_v1.0(CCDS-GR01-2023) |
つながる機器における最低限守るべき要件(対策レベル:★星一つ)を定義し、チェックリスト等を用いて確認がしやすいようになっている |
一般社団法人重要生活機器連携セキュリティ協議会,2022/11/16 |
| CSA IoT Controls Matrix v3ガイド |
IoTセキュリティコントロールフレームワークは、開発ライフサイクルを通じたセキュリティ実装をガイド・評価し業界固有のベストプラクティスを満たしているかどうかを確認するためのツールとして提供されている |
CSA,2022/7/21 |
| IoTセキュリティ手引書 Ver2.0 |
国際標準で規定されているセキュリティ要件を基に、安心安全なライフサイクル管理(設計・製造~サービス運用~廃棄)の実現を解説している |
一般社団法人セキュアIoTプラットフォーム協議会,2022/1/31 |
| Cross-Sector Cybersecurity Performance Goals Ver.1.0.1(2023-03) 日本語翻訳版 |
中小規模の重要インフラ事業者がサイバーセキュリティの確保の取り組みを始める際の助けとなることを目指した基本的なサイバーセキュリティ対策の共通項を目標として提供する |
CISA,2023 |
| 制御システムのセキュリティリスク分析ガイド 第2版 |
重要インフラや産業システムの基盤となっている制御システムのセキュリティを抜本的に向上させるのに重要な位置付けとなるセキュリティリスク分析を事業者が実施できるようにする |
IPA,2023 |
| ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン |
ビルシステムのサイバーセキュリティに関して、その確保のためのガイダンスを示す |
経済産業省,2023 |
| J-CLICS STEP1/STEP2(ICSセキュリティ自己評価ツール) |
制御システムのセキュリティ対策状況を把握する「チェックリスト」と、チェックリストの設問について取り組むべき具体策等がわかる解説書「設問項目ガイド」で構成されており、制御システムにおける効果的なセキュリティ対策を立案・実施するためにチェックリストおよび設問項目ガイドを提供する |
JPCERT/CC,2023 |
| 工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン |
工場システムのセキュリティ対策を実施する上で、参考となるような考え方やステップを示し、業界・業種の事情に応じたガイドラインを作成されるなど工場へのセキュリティ対策が立案・実行されることで、産業界全体、とりわけ工場システムのセキュリティの底上げが図る |
産業サイバーセキュリティ研究会ワーキンググループ1(制度・技術・標準化)工場サブワーキンググループ、経済産業省,2022/11/16 |
| 制御系SIRTの機能を備えるための手引き(CSIRTマテリアル補完資料) |
、JPCERT/CCと複数の製造事業者におけるICSセキュリティ担当者で形成したコミュニティで検討を行ってきた「制御系SIRT」が備えるべき能力やそのために必要な要件等について、実務者ベースで検討しこれまでに分かってきた知見をまとめている |
JPCERT/CC,2024/03/27 |
| サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF) |
ビルSWG、工場SWG、スマートホームSWG、ソフトウェアTF、第2層TF、第3層TFに分けて各産業分野の特性に応じたセキュリティ対策の検討する |
経済産業省,2024 |
金融セキュリティ
リモートワークセキュリティ
| 名称 |
概要 |
発行元 |
| テレワークにおけるセキュリティ確保 |
企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示す |
総務省,2021 |
セキュリティ人材
技術別ガイドライン集
クラウドセキュリティ
ウェブセキュリティ
| 名称 |
概要 |
発行元 |
| 安全なウェブサイトの作り方 |
IPAが届出を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料 |
IPA,2021/3/31 |
| OWASP Top 10 |
「OWASP」がWebアプリケーションに関する脆弱性やリスク、攻撃手法などの動向を研究し、Webセキュリティ上多発する脅威の中で、その危険性が最も高いと判断された項目をまとめ、定期的(2~3年周期)に発行しているセキュリティレポート |
OWASP,2021 |
ソフトウェアセキュリティ
脆弱性対策
ログ管理
| 名称 |
概要 |
発行元 |
| 高度サイバー攻撃への対処におけるログの活用と分析方法 |
高度サイバー攻撃への備えと効果的な対処の観点から、一般的に利用される機器に、攻撃者の活動の痕跡をログとして残すための考え方、それらのログから痕跡を見つけ出す方法などを記載する |
JPCERT,2022 |
履歴
| 更新日 |
更新内容 |
版 |
| 2024/5/18 |
日本国内における主要なサイバーセキュリティ関連のガイドライン・フレームワーク等を追加 |
第1.0版 |
| 2024/5/22 |
不備修正 |
第1.1版 |
