2023.3.13

【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】＜セキュリティ関連知識の保管庫（ナレッジベース2023）＞

位置づけ

• （目的：網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策（対策基準レベル）の概要を解説する。）
• 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

• 対策基準の策定目標
  • （要旨・キーワード等：組織の規模、状況を想定して、①インシデント事例に対応したレベル、②IPA「中小企業の情報セキュリティガイドライン」等のサンプル、ひな形をベースとしたレベル、③ISMSに準拠した対策等にレベルを分けて掲載）
• 情報セキュリティの三大要素（CIA）
  • （要旨・キーワード等：機密性・完全性・可用性）
• リスク評価
  • （要旨・キーワード等：組織に関連する脅威、脆弱性、情報の重要度）
• 対策基準に記載されるべき各管理策
  • （要旨・キーワード等：フレームワーク等に記載された組織的対策、人的対策、物理的対策、技術的対策から、中小企業のレベルに応じて必要十分な管理策の項目とポイントを掲載）
• 6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】
• 6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】
• 6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

＜＜本編＞＞

6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

• ※網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策（対策基準レベル）の概要を解説する。

• 網羅的なフレームワークを参考に、組織の現状と目標に応じて必要十分な管理策を選択して、段階的に、組織としての対策基準を策定する。

• ※対策基準を策定することにより、セキュリティ対策をしていることを内外に示し、説明責任を果たす。
• ※対策基準のレベルは抽象度が高く、具体的に実践することはできない。この基準に従って、実際に対策が講じられるように、実施手順（実務者マニュアル）等を作成し、運用する。
• ※対策基準に実施手順の一部を記載して、実施手順書の作成を省略することも可能。但し、内部での手順を記載した場合は、外部に示すことができず、説明責任は果たせない。

DX with Security

• サービスの向上のためにセキュリティ対策は必須

6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

• 様々なインシデント事案の対応内容を参考として、自組織の対応のレベル、内容を認識することは有益。網羅的な対策を講ずる前に、まず、"リスクが大きい（発生頻度が高いもの、被害が大きい）" と思われる事例から重要な対策基準を積み上げることも方法の一つ。（実施手順においても同様）
• 【参照資料】
  • 徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書について
  • 【IPA】情報セキュリティ10大脅威 2022
  • ランサムウェアによる被害
  • 標的型攻撃による機密情報の窃取
  • サプライチェーンの弱点を悪用した攻撃
  • テレワーク等のニューノーマルな働き方を狙った攻撃
  • 内部不正による情報漏えい
  • 脆弱性対策情報の公開に伴う悪用増加
  • 修正プログラムの公開前を狙う攻撃（ゼロデイ攻撃）
  • ビジネスメール詐欺による金銭被害
  • 予期せぬIT基盤の障害に伴う業務停止
  • 不注意による情報漏えい等の被害
  • 【NISC】サイバー攻撃を受けた組織における対応事例集（実事例における学びと気づきに関する調査研究）

6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドラインのサンプルを活用して】

• ガイドラインを参考に、簡易な手順での策定も可能
• 対策が必要な情報資産の洗い出しからリスク分析、リスクの認識

• 【参照資料】

  • 【IPA】中小企業の情報セキュリティ対策ガイドライン第3版
  • リスク分析シート
  • 中小企業のためのクラウドサービス安全利用の手引書

  • 情報セキュリティ関連規程（サンプル）

    • 組織的対策
    • 人的対策
    • 情報資産管理
    • アクセス制御及び認証
    • 物理的対策
    • IT機器利用
    • IT基盤運用管理
    • システム開発及び保守
    • 委託管理
    • 情報セキュリティインシデント対応ならびに事業継続管理
    • 個人番号及び特定個人情報の取り扱い

  • 情報セキュリティハンドブック（ひな形）

    • ※「ひな形」は、従業員が共通に行うべき、Security Action 二つ星レベルの最低限のルール。組織の現状と今後に対応して、規程が更に実効性のあるものとなるように、網羅的な実施手順を策定していく必要がある。
    • １.全社基本ルール
    • ２.仕事中のルール
    • ３.全社共通のルール
  • 【個人情報保護委員会】法令・ガイドライン等 お役立ちツール（※中小企業向け）
  • 自己点検チェックリスト
  • 個人データ取扱要領(例)

• 【要約資料】

  • INFORMATION 6-2_App.02_経営者の理解のもと、組織としてセキュリティ対策をしっかりと！
  • INFORMATION 6-4 中小企業の情報セキュリティ対策の段階的レベルアップ
  • INFORMATION 6-4 App.02 情報資産台帳の作成と詳細リスク分析
  • INFORMATION 6-4 App.03 情報セキュリティ関連規程に記載すべき項目

6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

情報セキュリティのマネジメント基準

※フレームワークで提示されている**情報セキュリティマネジメント基準を参考に、組織の現状と目標に応じて必要十分な基準を選択**して、セキュリティ対策の運用基準を明確にする。

確立

運用

監視及びレビュー

維持及び改善

ドキュメントの管理

情報セキュリティの管理策

「管理策」

※管理策に沿って、対策基準（各種関連規程）を策定する

組織的管理規程

人的管理規程

技術的管理規程

物理的管理規程

「属性」

※他の組織や団体が発行するガイドライン等との関連を明確にするもの

コントロール種別

• 予防的；発見的；是正的

情報セキュリティ特性

• 機密性；完全性；可用性

サイバーセキュリティ概念

• 特定；防御；検知；対応；復旧
  • ※CSFと対応

運用機能

• ガバナンス；#資産管理；#人的資源のセキュリティ；#物理的セキュリティ；#システム及びネットワークの セキュリティ；#アプリケーションセキュリティ；#セキュリティを保った構成；#識別情報及びアクセスの管理；#脅威及びぜい弱性の管理；#継続；#供給者関係のセキュリティ；#法令及び順守；#情報セキュリティ事象管理；#情報セキュリティ保証

セキュリティドメイン

• ガバメント及びエコシステム；保護；防御；レジリエンス

備考

改版履歴

• 2023年3月14日 「ナレッジベース2023」として、トップページ、インデックス本編1～8、Annexに分割
• 2023年3月10日 『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5（EPUBリフロー版）として公開
• 2021年10月7日 試験公開を開始

『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク ⇒ セキュリティ関連知識の保管庫（ナレッジベース2023）（Web版）> ⇒ 【本編01】サイバーセキュリティを取り巻く背景 ⇒ 【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】 ⇒ 【本編03】これからの企業経営で必要な観点【社会の動向】 ⇒ 【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】 ⇒ 【本編05】網羅的なセキュリティ対策を知る【フレームワーク】 ⇒ 【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】 ⇒ 【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】 ⇒ 【本編08】全体総括】 ⇒ 【Annex】セキュリティ関連関連資料 ⇒ ＜【2022年版凍結】セキュリティ関連知識の保管庫（ナレッジベース）（Web版）＞ ⇒ ガイドブック『中小企業向けサイバーセキュリティ対策の極意』のページ ⇒ 電子書籍（EPUB版）の閲覧 ⇒ 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト