2023.3.27

【本編05】網羅的なセキュリティ対策を知る【フレームワーク】 ＜セキュリティ関連知識の保管庫（ナレッジベース2023）＞

位置づけ

• （目的：業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する）
• 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.5.網羅的なセキュリティ対策を知る【フレームワーク】

• 網羅的な対策のフレームワーク
  • （要旨・キーワード等：ISO/IEC27001:2022、ISO/IEC27002:2022が示すマネジメント基準・管理策基準、5つの属性とその中身）
  • （要旨・キーワード等：政府機関、重要インフラとの連携において、NIST文書（SP800シリーズ、CSF（重要インフラのサイバーセキュリティを改善するフレームワーク））等を補足）
• 5.0 ITシステム管理・監査関連のフレームワーク
• 5.1 情報セキュリティマネジメントシステム（ISMS）
• 5.2 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）
• 5.3 セキュリティ関連NIST文書
• 5.4 サイバーセキュリティ経営の基本的な姿勢
  • （要旨・キーワード等：経営者が認識すべき３原則、サイバーセキュリティ経営の重要10項目）

＜＜本編＞＞

5.網羅的なセキュリティ対策を知る【フレームワーク】

• ※業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する
• これらのフレームワークを活用することにより、自組織で必要と思われるものを選択することにより、対策の漏れをなくすことが可能になる
• ISMS認証等を受ける場合は、内容の理解は必須となる

フレームワークの概要

• 【要約資料】

  • 情報セキュリティに関する各種フレームワークの概要
  • 欧米の各種規格等の最新動向と概要【ドラフト版】

• 情報セキュリティに関する各種フレームワーク

  • 情報セキュリティ対策を行う上において、様々なフレームワークが存在する。
  • 現在のフレームワークはどれも必要な全ての対策を網羅していません。企業のセキュリティ対策の目的、状況に応じてそれぞれのフレームワークを補完して活用することが望ましい。

• 政府機関から提示されている各種ガイドブック、ハンドブック、テキスト類

  • 政府機関から提示されている各種ガイドブック、ハンドブック、テキスト類は、ISMSのフレームワークがベースとなっており、現在のほとんどの組織は、その規格に準拠して、組織の情報セキュリティ対策の規程の整備、それに基づく対策の実施を行っている。

5.0 【新規】ITシステム管理・監査関連のフレームワーク

• システムの体系的なサイバーセキュリティ対策を検討するに当たっては、まず、対象となるシステムの管理・監査のフレームワークの概要と実施項目を理解しておくことが重要である。
• 【参照資料】
  • 【METI】システム監査基準（案）パブリックコメント版【2023年2月】
  • 【METI】システム管理基準（案）パブリックコメント版【2023年2月】
  • 【改訂方針】自社で保有する情報システムだけでなく、広く外部のサービスを利用して事業を推進する組織体が多くを占めるようになっている状況や、ボーダレスなIT環境を踏まえて、ITガバナンス及びITマネジメントに関わる国際規格の考え方や体系を取り入れるとともに、今後の組織体におけるITシステムの利活用の進展状況に対応しやすい内容とする
  • 情報セキュリティに関連する項目は、「情報セキュリティ管理基準（平成28年改正版）」（経済産業省） を参照

5.1 情報セキュリティマネジメントシステム（ISMS）[ISO/IEC27001:2022, 27002:2022]

• ISMSは、「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること。」 であり、JIS Q 27001（ISO/IEC 27001）により、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項が国際規格として示されている。
• リスクアセスメントの規格としては、情報セキュリティリスクマネジメント(ISO/IEC27005）があり、その内の「8.情報セキュリティリスクアセスメント」にリスクの特定からリスク評価までの基準が示されている。
• なお、セキュリティに関するリスクに限らず全般のマネジメントの規格としては、ISO 31000:2018（JIS Q 31000:2019）がある。

ISMSの改訂の動き

• ISO/IEC 27002は、2013年版から9年を経て、次期改定版が2022年度に発行された。
• 新しいISO/IEC 27002では、サイバーセキュリティ脅威や新しいセキュリティ技術の進化に合せて、11個の新規の情報セキュリティ管理策が追加された。
• ISO/IEC 27002の改定の影響を受けて、ISO/IEC 27001の附属書Aの部分を中心としたISO/IEC 27001も改定された。

ISMSの用語

• JIS Q 27001（ISO/IEC 27001）は、
  • 「ISMSの要求事項を定めた国際規格。」
  • 初版は、BS7799、ISO/IEC17799、JISX5080
  • 東京都を含め、一般的な組織は、この規格に基づいて、情報セキュリティ対策を行っており、セキュリティ対策基準、実施手順を作って運用してきた。
• JIS Q 27002（ISO/IEC 27002）は、
  • 2013年版は、「情報セキュリティ管理策の実践のための規範」 とされていたが、2022年版は、「情報セキュリティ管理策」とされた。ISO/IEC27001に基づくISMSにおいて使用されるが、ISMSとは独立した情報セキュリティ管理策の情報源として使用される。
  • 国際的なベストプラクティスとして、組織において情報セキュリティ管理策を実施するため、また、組織独自の情報セキュリティガイドラインの策定のために利用されることを想定
  • 新しい脅威や技術動向に合わせて、14の分類を、組織的対策、人的対策、物理的対策、技術的対策の4つの分類に再整理し、114個の管理策を、24個の管理策を統合し、また、11個の新規管理策を加えて、93個の管理策が示されている
  • サイバーセキュリティへの対応を強化するための管理策が充実させ、またCSFとの互換性のために、属性としてサイバーセキュリティ概念を導入した。従来は、ISMSとCSFの双方でカバーしていない項目があったが、これにより、ISMSとしての管理策が、CSFの管理項目を包含した。
• ISMS認証とは、
  • 「第三者であるISMS認証機関が、組織の構築したISMSがISO/IEC27001に基づいて適切に管理されているかを審査し証明すること。」

• ISMS適合性評価制度は、

  • 「認証を公正に運用するために、認証機関、認定機関、要員認証機関等の役割と連携を規定した国際的な枠組み」

• 【参照資料】

  • ISO/IEC27002:2022(en)
  • 【METI】情報セキュリティ管理基準（平成28年経済産業省告示第37号）
  • ISMS適合性評価制度の概要（パンフレット）

社会の進展に対応したISMSの変遷

• 1995年 BS7799 ⇒ 2000年 ISO/IEC17799 ⇒ 2007年 ISO/IEC27002

マネジメント基準（ISO/IEC27001:2022）

• 情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしたもの。「マネジメント基準」は、原則、全て実施すべき事項である。
• A.4.4_情報セキュリティマネジメントの確立
  • 4.4.1 組織の役割、責任及び権限 [27001:2013-5.3 / 5.1]
  • 4.4.2 組織及びその状況の理解 [27001:2013-4.1]
  • 4.4.3 利害関係者のニーズ及び期待の理解 [27001:2013-4.2]
  • 4.4.4 適用範囲の決定 [27001:2013-4.3]
  • 4.4.5 方針の確立 [27001:2013-5.2 / 6.2 / 5.1]
  • 4.4.6 リスク及び機会に対処する活動 [27001:2013-6.1]
  • 4.4.7 情報セキュリティリスクアセスメント [27001:2013-6.1.2]
  • 4.4.8 情報セキュリティリスク対応 [27001:2013-6.1.3]
• A.4.5_情報セキュリティマネジメントの運用
  • 4.5.1 資源管理 [27001:2013-7.1 / 5.1]
  • 4.5.2 力量、認識 [27001:2013-7.2 / 7.3 / 5.1]
  • 4.5.3 コミュニケーション [27001:2013-7.4]
  • 4.5.4 情報セキュリティマネジメントの運用の計画及び管理 [27001:2013-8.1]
  • 4.5.5 情報セキュリティリスクアセスメントの実施 [27001:2013-8.2 / 8.3]
• A.4.6_情報セキュリティマネジメントの監視及びレビュー
  • 4.6.1 有効性の継続的改善 [27001:2013-10.2 / 8.2 / 9.2 / 9.3 / 5.1]
  • 4.6.2 パフォーマンス評価 [27001:2013-9]
  • 4.6.3 マネジメントレビュー [27001:2013-9.3]
• A.4.7_情報セキュリティマネジメントの維持及び改善
  • 4.7.1 是正処置 [27001:2013-10.1]
• A.4.8_文書化した情報の管理
  • 4.8.1 文書化 [27001:2013-7.5.1]
  • 4.8.2 文書管理 [27001:2013-7.5.2 / 7.5.3]

管理策基準（ISO/IEC27001:2022）

• 「管理策基準」は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方 針に従って管理策を選択する際の選択肢を与えるもの
• A.5_組織的対策
  • 37項目
  • 【新規】5.7 Threat intelligence（脅威インテリジェンス）
  • 【新規】5.23 Information security for use of cloud services（クラウドサービス利用のための情報セキュリティ）
  • 【新規】5.30 ICT readiness for business continuity（事業継続のためのICTの備え）
• A.6_人的対策
  • 6項目
• A.7_物理的対策
  • 13項目
  • 【新規】7.4 Physical security monitoring（物理的セキュリティの監視）
• A.8_技術的対策
  • 34項目
  • 【新規】8.9 Configuration management（構成管理）
  • 【新規】8.10 Information deletion（情報削除）
  • 【新規】8.11 Data masking（データマスキング）
  • 【新規】8.12 Data leakage prevention（データ漏洩防止）
  • 【新規】8.16 Monitoring activities（監視活動）
  • 【新規】8.23 Web filtering（Webフィルタリング）
  • 【新規】8.28 Secure coding（セキュアコーディング）

属性

• ※他の組織や団体が発行するガイドライン等との関連を明確にするもの
• 各管理策は、「preventive 予防」、「detective 検出」、「corrective 是正」のいずれかに分類される。
• また「confidentiality 機密性」、「integrity 完全性」、「availability 可用性」のいずれかに関連付けられる。
• さらに、（サイバーセキュリティの概念、運用能力、セキュアドメインごとに)　属性のグループ分けできる。
• コントロール種別
  • 予防的；発見的；是正的
• 情報セキュリティ特性
  • 機密性；完全性；可用性
• サイバーセキュリティ概念
  • 特定；防御；検知；対応；復旧
  • ※CSFのフレームワークコアの分類に対応
• 運用能力
  • ガバナンス；資産管理；情報保護；．．．
• セキュリティドメイン
  • ガバメント及びエコシステム、保護、防御、レジリエンス

ISO 31000 リスクマネジメント

• 【参照資料】
  • [JIPDEC]「ISO31000－2018年版：リスクマネジメント－指針の経営への活用」

ISO/IEC 27000ファミリーの規格の改訂状況

• 【参照資料】
  • 【JIPDEC】ISO/IEC 27000ファミリー規格について
  • 27000 ISMS 概要及び用語
  • 27001 ISMS 要求事項
  • 27002 情報セキュリティ管理策
  • 27005 情報セキュリティリスクマネジメントに関する指針

5.2 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

• METIにおいては、ISMS、CSFを包含した「サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF」を提唱している。
• 単純なサイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するための道具として提示されている。

• 全体の枠組みに沿って、対象者や具体的な対策を整理し、『サイバーセキュリティ経営ガイドライン』や産業分野別のガイドラインなどの実践的なガイドラインを整備する予定。

• 【参照資料】

  • 【METI】サイバー・フィジカル・セキュリティ対策フレームワーク
  • 【METI】【文書】 サイバー・フィジカル・セキュリティ対策フレームワーク Ver.1.0【2019年4月18日】 全262ページ
  • 【METI】第8回産業サイバーセキュリティ研究会 ワーキンググループ2（経営・人材・国際）資料3【2022年3月23日】
  • IoT システム／サービス及び中小企業を含む大規模サプライチェーン全体
  • 【内閣府】サイバ―フィジカルセキュリティ対策検討ガイドブック・エグゼクティブサマリー【2023年2月】
  • 【内閣府】サイバ―フィジカルセキュリティ対策検討ガイドブック【2023年2月】
• 【要約資料】
  • Sec01-03-04【METI】【スライド】サイバー・フィジカル・セキュリティ対策フレームワークの概要
  • Sec01-03-02産業分野におけるサイバーセキュリティ～CPSFを中心に～【METI奥家氏】
  • サイバー・フィジカル・セキュリティ対策フレームワークを策定する目的
    • 「Society5.0」、「Connected Industries」の実現へ向けて、産業構造、社会の変化に伴うサイバー攻撃の脅威の増大に対応することが必要。
  • フレームワークの構造～「Society5.0」型サプライチェーン"価値創造過程"への対応
    • あらゆるものがつながるIoT、データがインテリジェンスを生み出すAIなどによって実現される「Society5.0」（人間中心の社会）、「Connected Industries」では、 製品/サービスを生み出す工程（サプライチェーン）も従来の定型的・直線的なものとは異なる、多様なつながりによる非定型の形態を取ることになる。
    • 本フレームワークでは、「Society5.0」型サプライチェーンを、価値創造過程（バリュークリエイションプロセス）と定義し、「Society5.0」、「Connected Industries」によって拡張したサプライチェーンの概念に求められるセキュリティへの対応指針を示す。
  • 三層構造アプローチ
    • 第1層：企業の繋がり（従来型サプライチェーン）
    • 生産された製品等－信頼できる企業が信頼できる生産活動によって仕様どおりの製品やサービスを供給しているか
    • 第2層：フィジカル空間とサイバー空間のつながり
    • センサーで読み込まれたデータ等－フィジカル空間における情報を、 センサーなどのIoT機器が正確にデジタル化し、サイバー空間に"転写"しているか
    • 第3層：サイバー空間におけるつながり
    • データ分析で得られたデータ等－収集する過程で改ざんされていないデータを適切な方法で加工した、 信頼できるデータを活用できるか

意義

• Society5.0を意識したセキュリティリスクとその対策方法について記述されている。
• 自社の事業が従来のサプライチェーンから離れ、新しくバリュークリエイションプロセスへと発展した際に、単純なサイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するための道具としてもCPSFは効果的に活用できると思われる。

5.3 セキュリティ関連NIST文書

重要インフラのサイバーセキュリティを改善するためのフレームワーク（CSF）

• 概略
  • NIST サイバーセキュリティフレームワーク（CSF）の正式名称は、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」で、もともとは米国政府機関の重要インフラの運用者を対象として誕生
  • NISTで作成されたフレームワークであり、防御にとどまらず、検知・対応・復旧といったステップも含み、インシデント対応を含めており、日本においても、今後普及が見込まれる
  • 「サイバーセキュリティ経営ガイドライン Ver 3.0 」では、フレームワークとして、「付録D_関連する規格・フレームワーク等との関係」でISMS（ISO/IEC 27001:2022、ISO/IEC 27002:2022）、CSF（NISTサイバーセキュリティフレームワークVer1.1）、CIS Controls Ver8との対応関係とともに、「付録A サイバーセキュリティ経営チェックシート」でCSFの項目との対応関係も提示されている
  • CSFの利用方法については、「フレームワークをどのように利用するかは、それを実施する組織に委ねられている。」と述べられており、CSFは汎用的なフレームワークであるがゆえに、指示書やノウハウ集ではない点を理解しておくことが大切
• 構成
  • ISMS（情報セキュリティマネジメントシステム）との関連性
  • ISMSの属性の1つである「サイバーセキュリティ概念」の特定；防御；検知；対応；復旧の切り口を識別として、 指針や管理手法の対応が可能
  • フレームワークコア
  • 成果を達成するための対策と参考情報の一覧
  • 識別：29項目
  • 防御：39項目
  • 検知：18項目
  • 対応：16項目
  • 復旧：6項目
  • フレームワークインプリメンテーションティア
  • 対策情報を把握するための4段階の評価基準
  • ティア1：場当たり的、属人的である
  • ティア2：初期プロセスが整備されている
  • ティア3：プロセスが継続的に回っている
  • ティア4：プロセス自身の継続的改善に努めている
  • フレームワークプロファイル
  • コアとティアを組合せた、サイバーセキュリティ対策の「現在」と「目標」
  • 現在のプロファイル：現時点で達成されているサイバーセキュリティ成果
  • 目標のプロファイル：サイバーセキュリティリスクマネジメントの目標を達成するために必要な成果
• 【要約資料】
  • [Sec01-03-05【スライド】経営リスク管理から考えるSecurity by Design（公開不可）]
  • [Cyber Security Framework(CSF)の実践におけるヒント（公開不可）]

SP800シリーズ

• NIST SP 800とは？
• CSFとSP 800の位置付け
  • セキュリティ管理の具体的な手法と手順を明記したガイドラインSP 800シリーズはCSFの下位概念で、CSFに則って整備されている。

• NIST SP800-53とは？

  • 「NIST SP800-53（連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策）」は、米国連邦政府の内部セキュリティ基準を示すガイドライン。
  • 日本においても、政府で導入するクラウドサービスに要求するセキュリティ管理基準（ISMAP)の一つとして本ガイドラインの採用方針を出している。

• NIST SP 800-53とNIST SP 800-171との関連

• NIST SP 800-171とは？

  • 「NIST SP800-171（連邦政府外のシステムと組織における管理された非格付け情報の保護）」は、NIST CSD（Computer Security Division）が提供するセキュリティ対策ガイドラインの一つ。
  • SP800シリーズで保護する情報には、政府の機密情報とされるCI（Classified Information）とそれ以外の重要情報と位置付けられるCUI（Controlled Unclassified Information）の2種類があり、米国では、SP800-171でCUIを管理すると定めている。
  • 日本の防衛装備庁も防衛産業におけるサイバーセキュリティ体制の強化のための施策を一層促進するため、 SP 800-171を参考に、「防衛産業サイバーセキュリティ基準」を整備している。

• NIST SP 800-161とは？

  • 「システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントのガイダンス」
  • 調達から販売・供給までの一連のサプライチェーンに存在する業務委託先や関連企業のすべてにおいて、一貫したセキュリティ基準を持つことが必要だと述べられている。
  • NIST SP800-161の目的は、業務委託先や関連企業におけるセキュリティ対策である。

• NIST SP 800-40とは？

• NIST プライバシーフレームワーク Ver1.0とは？

5.4 サイバーセキュリティ経営の基本的な姿勢

• 【要約資料】
  • 「サイバーセキュリティ経営ガイドライン Ver3.0」の改訂概要【2023年3月27日】
  • サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)のコンセプトの反映やサプライチェーンの再整理など、所要の改訂
  • 「サイバーセキュリティ経営ガイドラインVer2.0」の要約
• 【参考資料】
  • 【METI】サイバーセキュリティ経営ガイドライン Ver3.0（PDF形式）【2023年3月27日METI】
  • サイバーセキュリティ経営ガイドラインVer2.0実践のためのプラクティス集」【IPA】
  • 「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、経営ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載

I．サイバーセキュリティは経営問題

• セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要
• セキュリティ投資は必要不可欠かつ経営者としての責務である。

II．経営者が認識すべき３原則

• (1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
  • 対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
• (2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • サプライチェーン構造の複雑化に伴い、サプライチェーン全体を俯瞰し、総合的なセキュリティを徹底することの必要性等を記載
• (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
  • 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載

実行すべき「重要７項目の取組」

• 取組1 情報セキュリティに関する組織全体の対応方針を定める
• 取組2 情報セキュリティ対策のための予算や人材などを確保する
• 取組3 必要と考えられる対策を検討させて実行を指示する
• 取組4 情報セキュリティ対策に関する適宜の見直しを指示する
• 取組5 緊急時の対応や復旧のための体制を整備する
• 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
• 取組7 情報セキュリティに関する最新動向を収集する

III．サイバーセキュリティ経営の重要１０項目

• 指示1：サイバーセキュリティリスクの認識、組織全体での対応方針の策定
• 指示2：サイバーセキュリティリスク管理体制の構築
• 指示3：サイバーセキュリティ対策のための資源（予算、人材等）確保
  • セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
• 指示4：サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
• 指示5：サイバーセキュリティリスクに対応するための仕組みの構築
• 指示6：サイバーセキュリティ対策におけるPDCAサイクルの実施
• 指示7：インシデント発生時の緊急対応体制の整備
• 指示8：インシデントによる被害に備えた復旧体制の整備
  • 事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
• 指示9：ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
  • 自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
• 指示10：情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
  • 有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

備考

改版履歴

• 2023年3月27日 サイバーセキュリティ経営ガイドライン Ver3.0【2023年3月24日】の要約更新
• 2023年3月14日 「ナレッジベース2023」として、トップページ、インデックス本編1～8、Annexに分割
• 2023年3月10日 『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5（EPUBリフロー版）として公開
• 2021年10月7日 試験公開を開始

『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク ⇒ セキュリティ関連知識の保管庫（ナレッジベース2023）（Web版）> ⇒ 【本編01】サイバーセキュリティを取り巻く背景 ⇒ 【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】 ⇒ 【本編03】これからの企業経営で必要な観点【社会の動向】 ⇒ 【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】 ⇒ 【本編05】網羅的なセキュリティ対策を知る【フレームワーク】 ⇒ 【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】 ⇒ 【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】 ⇒ 【本編08】全体総括】 ⇒ 【Annex】別添資料（関連資料・文献等の紹介） ⇒ 【Appendix】追補資料（最新動向等） ⇒ ＜【2022年版凍結】セキュリティ関連知識の保管庫（ナレッジベース）（Web版）＞ ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』のページ ⇒ 電子書籍（EPUB版）の閲覧 ⇒ 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト