ページの先頭です

ページ内を移動するためのリンク
本文(c)へ

セキュリティの部屋

【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】<セキュリティ関連知識の保管庫(ナレッジベース2023)>

位置づけ

  • (目的:中小企業が策定した対策基準に基づいて具体的に実施する内容、手順(実施手順レベル)を解説する。対策基準に記載された対策の具体的な実施のためにドキュメント化(仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等)して、順次実施すべき事項をひな形等で解説する。)
  • 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

<<本編>>

7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

  • ※中小企業が策定した対策基準に基づいて具体的に実施する内容、手順(実施手順レベル)を解説する。
  • 対策基準に記載された対策の具体的な実施のための仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等に記載すべき事項をひな形等で解説する
  • 補足
    • 公開を前提とせず、対策基準で明記した規程を具体的に行うために、組織内の各職制において、どんな時に何をどのように行うかを明示する。
    • ※対策基準が策定されても、具体的な手順等が用意されなければ、実効性を担保することは困難
    • ※また、対策基準を策定せずに、いきなり実施手順を作成すると、対策に漏れが生じて、十分な対策とならない可能性がある。
    • ※必要に応じて、職制毎、事象毎のガイドブックとして分冊とすることが有効

7.1 実施手順としての作成ドキュメントおよび作成手順

7.1.1 作成すべきドキュメント(共通及び職種等別)

  • 全社共通
  • 経営者層
  • 企画管理部門
  • システム構築実務者
  • サービス提供実務者
  • サービス利用者(一般従業員)
一般従業員向け
システム管理者・担当者向け
組織経営者・責任者向け

7.1.2 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

7.1.3 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】

7.1.4 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

  • 作成した対策基準が、「絵に書いた餅」にならないよう、7.2 以降の各項目に対応した手順を作成する

7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順

7.3 組織的対策

作成する候補となる実施手順書類

  • 情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書(役割分担表、職務、管理責任、広報)作成及び実施(ISO/IEC27002:2022より抜粋)
  • 「脅威インテリジェンス」(情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施
  • 情報資産台帳作成・維持実施手順書(情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)の作成及び運用
  • クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成
  • 情報セキュリティインシデント管理の計画、インシデント対応マニュアル(防御・検知・対応・復旧)の作成
  • ICTサービスに関しての事業継続計画策定、実施、維持、テスト実施手順書の作成
  • 法的、法的、規制および契約上の要件等の確認手順書の作成
  • 知的財産、データ、プライバシー等の管理手順書の作成
  • セキュリティ対策状況の点検・監査・評価・認証
  • 文書化された各手順書のレビュー

情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書作成及び実施

  • (役割分担表、職務、管理責任、広報)

情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施

  • 「脅威インテリジェンス」

情報資産台帳作成・維持実施手順書の作成及び運用

  • (情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)

クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成

情報セキュリティインシデント管理の計画、インシデント対応マニュアルの作成

  • (防御・検知・対応・復旧)

ICTサービスに関しての事業継続計画(IT-BCP)策定、実施、維持、テスト実施手順書の作成

法的、法的、規制および契約上の要件等の確認手順書の作成

知的財産、データ、プライバシー等の管理手順書の作成

セキュリティ対策状況の点検・監査・評価・認証

外部委託契約(⇒技術的対策)

7.4 人的対策

作成する候補となる実施手順書類

  • スクリーニング、雇用契約書、懲戒手続き、雇用の終了または変更後の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティ イベントの報告手順書等の作成・維持と運用

7.4.2 IT及びデジタル人材の確保

  • 【要約資料】
    • INFORMATION 6-6 DX時代に不可欠な人材の確保
    • S1 ビジネスの発展のための人材確保のポイント
      • S1.1.企業の維持・発展のために経営者が意識すること
      • SDGsの達成への貢献:社会的要請に応えることにより企業価値を創造
      • DXへの早期対応:他組織に先駆けて対応することによるビジネスチャンス
      • DX時代のビジネスチャンスを生かすためには、デジタルリテラシーを持った人材の確保が重要
      • S1.2.IT及びデジタル人材の確保
        • 「デジタルを作る人材」の確保
        • 「デジタルを作る人材」だけでなく「デジタルを使う人材」の育成も必須
        • 「リスキリング」:システム関連部署だけでなく、全員がデジタルリテラシーを持つ
        • 網羅的な素養を確保:人材育成が困難な場合は、外部の人材を積極的に活用
      • S1.3.サイバーセキュリティ対策人材
        • DX with Security:サービスの向上のためにセキュリティ対策は必須
        • まずはデジタルリテラシーを:具体的なセキュリティ対策実践するために
      • S1.4.人材育成:必要な素養を効率的・効果的に身に付けるために
    • S2. DX推進に必要な知識・スキルの体系
    • S3. 役割毎に必要な素養・スキル・知識のレベル
      • 経営者層
      • 企画管理部門
      • システム構築実務者
      • サービス提供実務者
      • サービス利用者
      • その他
    • DAX96-05_DX時代のビジネス展開のためのデジタルリテラシーの必要性と人材育成【詳細】
チェンジマインド
  • ※特に経営者の意識改革
  • 【要約資料】
    • INFORMATION 6-6_App.01 経営者の意識改革の方向性
    • 経営者の意識改革のポイント
      • 経営者の「チェンジマネジメント」の重要性の認識
      • 社員の能力再開発「リスキリング」
    • 中小企業における人材育成の戦略
      • ①守りのIT・セキュリティ対策
      • ②攻めのIT・セキュリティ対策
「デジタルを作る人材」の確保
  • DXに対応するためには、「デジタルを作る人材」であるシステム関連部門では、従来からのITスキルに加えて、データサイエンス・AIを生かせるスキル、知識等が必要である。
「デジタルを使う人材」の育成
  • DXの推進には、「デジタルを使う人材」である事業担当部門でも、基礎的なデジタルリテラシーを持つことが必要である。
「リスキリング」
  • システム関連部署だけでなく、全員がデジタルリテラシーを持つ
    • 「デジタルを作る人材」、「デジタルを使う人材」は、「リスキリング」等により、現状にプラスするデジタルリテラシーを持った人材へとスキルアップすることが効果的である。
    • 「リスキリング」とは、組織が従業員が成果を発揮し続けられるように新たなスキルを獲得できるようにすることである。企業には、従業員にどんな新しいスキルを獲得してほしいのかを示し、スキル獲得の基盤を構築する責任がある。
    • IT及びデジタルを扱うシステムを担当する人材がいないために、十分なITスキルを持たない従業員に、システム管理者として、責任を負わせているケースも多い。その状態では、費用対効果の高い環境構築・運用は難しく、障害等に対応することは更に困難である。

7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準(DSS)】

DXリテラシー標準(DSS-L)
DX推進スキル標準(DSS-P)

7.4.4 人材育成・人材確保のための各種スキル標準

基礎情報技術者試験シラバス
情報セキュリティマネジメント試験シラバス
デジタルリテラシー領域(Di-Lite)
  • 組織において、DXの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」も含めた両輪の育成が必要となる。
  • 全てのビジネスパーソンがデジタル時代のコア・リテラシーを身につけていくことが求められる。
  • スキル・知識の領域

    • マインド: デジタルに取り組むスタンス、マインド
    • 知識体系: デジタル活用分野/適用事例、デジタル知識
    • デジタルを扱うスキル
    • 基礎: 使う、作る/なおす
    • 応用: より上手に使う/広める、発想する/活用方針を示す、新たに作る/教える
  • 領域をカバーする認定試験等

    • ITパスポート試験(iパス)
    • IT及びデジタルを扱う人が持っているべき基礎知識。「社会人の常識」とされている。
    • G検定(ジェネラリスト検定)
    • AI をビジネスに活用するための基礎素養。AIを活用した事業設計から、関連する法規、契約や倫理にまつわる内容など、 広い範囲のビジネス活用の知識。
    • データサイエンティスト検定(リテラシーレベル)
    • データサイエンティストに必要なデータサイエンス力・データエンジニアリング力・ビジネス力についてそれぞれ見習いレベルの実務能力や知識。
ITSS+
プラス・セキュリティ
  • 様々な人材層・部門において、専門人材との協働が求められる。(協働のためには、互いの領域への相互理解が前提となる。)
  • ユーザ企業の主体的なIT活用・DX実施において経営・事業を担う者がセキュリティ知識を補充できるように

7.5 技術的対策

作成する候補となる実施手順書類

  • エンドポイントデバイス、 特権アクセス権、安全な認証、マルウェアに対する保護、技術的脆弱性の管理、バックアップ、冗長化、ロギング、監視、特権ユーティリティの使用、ネットワークの分離、Webフィルタリング、暗号の使用、開発ライフサイクル、アプリケーションのセキュリティ要件、セキュアコーディング、受入検査時のセキュリティテスト、外部委託開発要件、本番環境の分離、変更管理、テスト情報、情報システムの保護等に関する実施手順書

Security by Design

  • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。

共同責任モデル

  • オンプレミス(自社構築)、クラウド(IaaS、PaaS、SaaS)

対象領域

  • ユーザ、データ、アプリケーション、OS、サーバ、ネットワーク、ストレージ

「境界防御モデル」

  • FW、VPN、Proxy、IDS、IPS、UTM、EDR等

ゼロトラスト、ZTA(Zero Trust Architecture)、SASE(Secure Access Service Edge)のフレームワーク

ネットワーク制御(Network as a Service)

  • VPN
  • SD-WAN
    • VPNに代わって今後の普及が見込まれる。
    • SD-WAN(Software Defined-Wide Area Network)とは、ネットワークをソフトウェアで制御するSDN(Software Defined Networking)の技術をWANに適用し、拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成やトラフィックコントロールなどを実現する技術やサービス

セキュリティ統制(Security as a Service)

  • ネットワーク・セキュリティ
    • SWG (Secure Web Gateway)
    • Webアクセスを中継するプロキシの一種で、危険なサイトやコンテンツへのアクセスを遮断するセキュリティ機能をクラウドサービスとして提供する
    • SDP (Software Defined Perimeter)
    • 仮想的かつ動的なマイクロセグメンテーションおよびセキュアなリモートアクセスを実現する
  • デバイス・セキュリティ
    • EDR (Endpoint Detection and Response)
    • エンドポイントの一元管理を行うUEM※4やマルウェア侵入後の対策を支援する
    • EPP (Endpoint Protection Platform)
    • エンドポイントを保護するためにプラットフォーム
    • MDM (Mobile Device Management)
  • アイデンティティ・セキュリティ
    • IAM (Identity and Access Management)
    • IDの管理・認証・認可を行う
    • FIDO (Fast Identity Online)
    • FIDO認証の持つ大きな特徴は、単に、「パスワードを使わない」 「生体認証やセキュリティキーを使う」ということではなく、「サーバーとユーザーで秘密の情報を共有しない」 こと
    • 認証結果を公開鍵暗号方式により」ネットワーク上で安全にやりとりするための仕様が定められており、認証に必要な秘密情報は認証を行う端末のみに保存され、ネットワーク上での伝送やサーバーに保存する必要がない
      • サーバがユーザの秘密(秘密鍵やユーザデバイスの生体認証情報など)を保管しないため、通信経路、事業者側環境から認証情報が漏洩することはない
  • ワークロード・セキュリティ
    • CWPP (Cloud Workload Protection Platform)
    • クラウド上の仮想マシン、データベース、コンテナー、アプリケーション等を中心とした監視と保護のセキュリティソリューション
  • データ・セキュリティ
    • DLP (Data Loss Prevention)
    • 機密情報を特定することで、ユーザではなく、情報に対するアクセスや操作を監視することで漏えいを防止する仕組み。
  • 可視化と分析
    • CASB (Cloud Access Security Broker)
    • 統合的にログを管理・可視化・分析するSIEM※6やインターネットアクセスを可視化・制御する
    • SIEM (Security Information and Event Management)
    • ファイアウォールやIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃やマルウェア感染などのインシデントを検知することを目的とした仕組み
    • CSPM (Cloud Security Posture Management)
    • IaaS/PaaSの設定ミス・脆弱性などクラウドのセキュリティ常態を可視化・管理する
  • 自動化
    • SOAR (Security Orchestration and Automation Response)
    • インシデントレスポンスを自動化する

IT環境構築・運用実施手順

  • Security by Design
    • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。
  • DevSecOps
    • DevSecOpsとは、情報システムにおいて開発(Development)と運用(Operations)が密に連携することで、開発にかかる期間を短縮し、リリース頻度を高める開発スタイル。
    • このDevOpsにセキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイル。
サービス構築・運用マニュアル
  • 【参照資料】
    • 政府情報システムの整備及び管理に関する標準ガイドライン【一般論】【実務手引書】

従来型開発モデル【ウォーターフォールモデル】での開発プロセス

サービス要件定義と留意点
  • 要件定義書記載項目(一般要件)

    • 業務要件
    • ・・・
    • 業務の継続の方針等
      • 業務の継続に伴うリスク及び基本的な考え方。なお、業務継続計画を策定する必要がある業務にあっては当該計画の策定時に検討
      • 定常時と大規模災害等の発災時に考慮すべき要因
    • 情報セキュリティ対策基準を適用する対策(組織的、人的、物理的対策)

      • 取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方
      • 情報セキュリティ上のリスクを特定し、その対策をシステム化要件(機能要件及び非機能要件)として定義できるように、情報セキュリティ対策の対象となる情報について、情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化
    • 機能要件

    • ・・・
    • 画面(GUI)(GUI)に関する事項
      • ユーザ認証等を含めた画面遷移の基本的考え方、画面入出力要件・画面設計要件等
    • 外部インタフェース(API)に関する事項
      • 外部インタフェース一覧、相手先システム、送受信データ、送受信タイミング、送受信の条件等
    • ・・・
    • 非機能要件
    • ・・・
    • 信頼性に関する事項
      • 稼働率等の可用性要件・目標値、データの滅失・改変を防止する完全性要件
    • 継続性に関する事項
      • 障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間等
    • 情報セキュリティに関する事項(技術的対策)
      • 主体認証、アクセス制御、権限管理、ログ取得及びログ管理、暗号化及び電子署名、ソフトウェアの脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策等
    • ・・・
各仕様書の妥当性評価
  • 各仕様書の記述内容

    • (サービス要件定義書、システム化要件定義書、調達仕様書、開発段階での仕様書、作業指示書、、)
    • 曖昧性・不確実性の排除
    • プロセスと成果物の具体化度を明確にしないで、成果物名のみの提示は齟齬が生じる
    • 「柔軟に対応できること?」は、工数が見積もれない
    • 読むべき人が理解できるか?
    • その仕様書をインプットとして、難易度の認識、妥当な工数見積もりができるかを評価
    • 方法としての選択肢は可
    • コストが高くても将来性、柔軟性のある方法
    • コストが安いが、当面の課題は解決で
  • 参考見積書の評価

    • 曖昧な仕様書では安全係数が大きくなり、高額な見積もりになる
    • 業者の高額な参考見積もりを鵜呑みにして安易な要件緩和やスペックダウンはしない
    • 提案もしくは指示した実施方法が明確な場合は、具体的な作業と要する工数を評価する
    • ある程度の実地の経験は必要
    • 競争入札になれば、適正な価格に近づく。随意契約の場合は、妥当と思われるまで調整する必要がある
    • 「単価が高いから見積もりが高くなる」という評価は正しくない
開発タスクと作成ドキュメント
  • ★政府標準ガイドラインに沿った開発タスクとドキュメント、ドキュメントに記載されるべき項目
  • 企画段階
  • 予算要求~調達準備
  • 提案要求~契約
  • 設計・開発~本番移行
  • 運用開始~保守
  • システム監査
調達方式の決定の判断、調達方式の違いによる仕様書の精緻度
◇請負業務
  • ■公募
  • ■一般競争入札
    • ◇最低価格落札方式
    • 基本は、一般競争入札(最低価格落札方式)
    • ・仕様書の解釈により、実施内容にブレがでない詳細な仕様提示が必要
    • ・予定価格の妥当性の評価は必要だが、業者見積もりの妥当性は評価する能力は求められない
    • ◇総合評価落札方式
    • ・提案者の創意工夫の余地を残し、提案内容の優劣を技術点で評価する
  • ■企画競争
    • ・具体的な実装方式を特定せず、提案者の創意工夫の内容の優劣で評価する
    • ・業者を選定後は、随意契約として扱われる
  • ■随意契約
    • ・業者の言いなりにならないようにすることが肝要
    • 実施内容と業者見積もり額の妥当性を精緻に評価する能力が必要
◇委任契約
  • ・・・
情報システム関連仕様書・契約書

アジャイル開発モデルでの進め方と留意点

  • 留意点

    • 技術的実現性やビジネスの成否が不確実な状況において、全体の要件を確定することは困難。
    • 小さな単位で実装とテストを繰り返して、運用時の技術的評価結果や顧客の反応に基づいて、素早く改善を繰り返して完成させていく(以前の表現では、プロトタイピング手法、スパイラス手法に近い)
    • アジャイル開発では、全体の仕様を確定させて調達する請負業務契約をそのまま適用と、中間成果物、最終成果物の完成度に対する評価等に齟齬が生じる可能性が高い。⇒準委任契約が妥当
    • ウォータフォールモデルを参考に、アジャイル開発の固有の概念を反映させる形にカスタマイズしていくこと効率的。
    • ※準委任契約の特徴
    • 請負契約は、あらかじめ内容が特定された成果物を予定したとおりに完成させることに対して対価を支払う
    • 準委任契約は、業務を受託したベンダ企業が、専門家としての注意義務を果たしながら業務を遂行することそれ自体に対価を支払う
    • アジャイルの手法は、ソフトウェア開発に限らず、IT環境、セキュリティ環境構築にも有効な手段。また、このような業務が外注するより、組織内に人材を確保して、できるだげ内製化できる方向で進めることが、ビジネスの発展を見込める
  • 【参照資料】

  • 【要約資料】

政府標準ガイドラインに沿った開発タスクと必要なスキル・知識の選択的習得

インシデント対応マニュアル

IT部門と事業部門の連携による顧客課題の解決

  • 事業部門の参画

7.6 物理的対策

7.7 セキュリティ対策状況の有効性評価

  • 内部点検
    • 当事者による検査
  • 内部監査
    • 組織内の当事者以外の者による検査
    • 自社のルールや文書が要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすること
    • ドキュメント:1)内部監査計画 2)内部監査チェックリスト 3)内部監査報告書 等
  • 外部監査
    • 組織外の者による検査
  • 第三者認証
7fff6322b3dede055e21f0e86f6bd3f5

備考

改版履歴

  • 2023年3月14日 「ナレッジベース2023」として、トップページ、インデックス本編1~8、Annexに分割
  • 2023年3月10日 『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5(EPUBリフロー版)として公開
  • 2021年10月7日 試験公開を開始
『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク

ページトップへ