【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

### 【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】 #### 位置づけ - （目的：中小企業が策定した対策基準に基づいて具体的に実施する内容、手順（実施手順レベル）を解説する。対策基準に記載された対策の具体的な実施のためにドキュメント化（仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等）して、順次実施すべき事項をひな形等で解説する。） - _具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。_ ### 目次 ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` ### 7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】 - _※中小企業が策定した対策基準に基づいて具体的に実施する内容、手順（実施手順レベル）を解説する。_ - 対策基準に記載された対策の具体的な実施のための仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等に記載すべき事項をひな形等で解説する - 補足 - 公開を前提とせず、対策基準で明記した規程を具体的に行うために、組織内の各職制において、どんな時に何をどのように行うかを明示する。 - ※対策基準が策定されても、具体的な手順等が用意されなければ、実効性を担保することは困難 - ※また、対策基準を策定せずに、いきなり実施手順を作成すると、対策に漏れが生じて、十分な対策とならない可能性がある。 - ※必要に応じて、職制毎、事象毎のガイドブックとして分冊とすることが有効 ### 7.1 実施手順としての作成ドキュメントおよび作成手順 #### 7.1.1 作成すべきドキュメント（共通及び職種等別） - 全社共通 - 経営者層 - 企画管理部門 - システム構築実務者 - サービス提供実務者 - サービス利用者（一般従業員） ##### 一般従業員向け ##### システム管理者・担当者向け ##### 組織経営者・責任者向け #### 7.1.2 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】 - 様々なインシデント事案の対応内容を参考として、自組織の対応のレベル、内容を認識することは有益。網羅的な対策を講ずる前に、まず、事例から重要な対策を積み上げることも方法の一つ。 - [_徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書について_](https://www.handa-hospital.jp/topics/2022/0616/index.html) - [_【NISC】サイバー攻撃を受けた組織における対応事例集（実事例における学びと気づきに関する調査研究）_](https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf) - サイバー攻撃を受けた組織における対応事例集 - 組織がインシデント経験から得た主な気付きと取組み #### 7.1.3 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】 - 【参照資料】 - [_【IPA】中小企業の情報セキュリティ対策ガイドライン第3版_](https://www.ipa.go.jp/security/keihatsu/sme/guideline/) - [_リスク分析シート_](https://www.ipa.go.jp/files/000055518.xlsx) - [_中小企業のためのクラウドサービス安全利用の手引書_](https://www.ipa.go.jp/files/000055518.xlsx) - [_情報セキュリティ関連規程（サンプル）_](https://www.ipa.go.jp/files/000055794.docx) - [_情報セキュリティハンドブック（ひな形）_](https://www.ipa.go.jp/files/000055529.pptx) - [_【IPA】セキュリティ関連費用の可視化_](https://www.ipa.go.jp/icscoe/program/core_human_resource/final_project/visualization-costs.html) - 企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用するお助けツール「NANBOK」 - [【NISC】インターネットの安全・安心ハンドブックVer 5.00](https://security-portal.nisc.go.jp/guidance/handbook.html) - [【IPA】ECサイト構築・運用セキュリティガイドライン](https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html) - 【要約資料】 - [Sec2023-02-02「インターネットの安全・安心ハンドブック」の概要](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/455/index.html) #### 7.1.4 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】 - 作成した対策基準が、「絵に書いた餅」にならないよう、[7.2](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/464/index.html#text-07-02) 以降の各項目に対応した手順を作成する ### 7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順 ### 7.3 組織的対策 #### 作成する候補となる実施手順書類 - 情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書（役割分担表、職務、管理責任、広報）作成及び実施（ISO/IEC27002:2022より抜粋） - 「脅威インテリジェンス」(情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施 - 情報資産台帳作成・維持実施手順書（情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報）の作成及び運用 - クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成 - 情報セキュリティインシデント管理の計画、インシデント対応マニュアル（防御・検知・対応・復旧）の作成 - ICTサービスに関しての事業継続計画策定、実施、維持、テスト実施手順書の作成 - 法的、法的、規制および契約上の要件等の確認手順書の作成 - 知的財産、データ、プライバシー等の管理手順書の作成 - セキュリティ対策状況の点検・監査・評価・認証 - 文書化された各手順書のレビュー #### 情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書作成及び実施 - （役割分担表、職務、管理責任、広報） #### 情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施 - 「脅威インテリジェンス」 #### 情報資産台帳作成・維持実施手順書の作成及び運用 - （情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報） #### クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成 #### 情報セキュリティインシデント管理の計画、インシデント対応マニュアルの作成 - （防御・検知・対応・復旧） #### ICTサービスに関しての事業継続計画(IT-BCP)策定、実施、維持、テスト実施手順書の作成 - [_【NISC】「政府機関等における情報システム運用継続計画ガイドライン」(第3版)_](https://www.nisc.go.jp/pdf/policy/general/itbcp1-1_3.pdf) #### 法的、法的、規制および契約上の要件等の確認手順書の作成 #### 知的財産、データ、プライバシー等の管理手順書の作成 #### セキュリティ対策状況の点検・監査・評価・認証 #### 外部委託契約(⇒技術的対策) ### 7.4 人的対策 #### 作成する候補となる実施手順書類 - スクリーニング、雇用契約書、懲戒手続き、雇用の終了または変更後の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティイベントの報告手順書等の作成・維持と運用 #### 7.4.2 IT及びデジタル人材の確保 - 【要約資料】 - [_INFORMATION 6-6 DX時代に不可欠な人材の確保_](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/328/index.html) - S1 ビジネスの発展のための人材確保のポイント - S1.1.企業の維持・発展のために経営者が意識すること - SDGsの達成への貢献：社会的要請に応えることにより企業価値を創造 - DXへの早期対応：他組織に先駆けて対応することによるビジネスチャンス - DX時代のビジネスチャンスを生かすためには、デジタルリテラシーを持った人材の確保が重要 - S1.2.IT及びデジタル人材の確保 - 「デジタルを作る人材」の確保 - 「デジタルを作る人材」だけでなく「デジタルを使う人材」の育成も必須 - 「リスキリング」：システム関連部署だけでなく、全員がデジタルリテラシーを持つ - 網羅的な素養を確保：人材育成が困難な場合は、外部の人材を積極的に活用 - S1.3.サイバーセキュリティ対策人材 - DX with Security：サービスの向上のためにセキュリティ対策は必須 - まずはデジタルリテラシーを：具体的なセキュリティ対策実践するために - S1.4.人材育成：必要な素養を効率的・効果的に身に付けるために - S2. DX推進に必要な知識・スキルの体系 - S3. 役割毎に必要な素養・スキル・知識のレベル - 経営者層 - 企画管理部門 - システム構築実務者 - サービス提供実務者 - サービス利用者 - その他 - [_DAX96-05\_DX時代のビジネス展開のためのデジタルリテラシーの必要性と人材育成【詳細】_](https://share.mindmanager.com/#publish/75_5abMJhoJSDyXOTtR_eBCjKbusr03tdcp7sx8p) ##### チェンジマインド - ※特に経営者の意識改革 - 【要約資料】 - [_INFORMATION 6-6\_App.01 経営者の意識改革の方向性_](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/351/index.html) - 経営者の意識改革のポイント - 経営者の「チェンジマネジメント」の重要性の認識 - 社員の能力再開発「リスキリング」 - 中小企業における人材育成の戦略 - ①守りのIT・セキュリティ対策 - ②攻めのIT・セキュリティ対策 ##### 「デジタルを作る人材」の確保 - DXに対応するためには、「デジタルを作る人材」であるシステム関連部門では、従来からのITスキルに加えて、データサイエンス・AIを生かせるスキル、知識等が必要である。 ##### 「デジタルを使う人材」の育成 - DXの推進には、「デジタルを使う人材」である事業担当部門でも、基礎的なデジタルリテラシーを持つことが必要である。 ##### 「リスキリング」 - システム関連部署だけでなく、全員がデジタルリテラシーを持つ - 「デジタルを作る人材」、「デジタルを使う人材」は、「リスキリング」等により、現状にプラスするデジタルリテラシーを持った人材へとスキルアップすることが効果的である。 - 「リスキリング」とは、組織が従業員が成果を発揮し続けられるように新たなスキルを獲得できるようにすることである。企業には、従業員にどんな新しいスキルを獲得してほしいのかを示し、スキル獲得の基盤を構築する責任がある。 - IT及びデジタルを扱うシステムを担当する人材がいないために、十分なITスキルを持たない従業員に、システム管理者として、責任を負わせているケースも多い。その状態では、費用対効果の高い環境構築・運用は難しく、障害等に対応することは更に困難である。 #### 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準（DSS）】 - DXに理解・関心を持ち自分事としてとらえている状態を実現することが不可欠 - 実際に企業がDX戦略を推進するには、関連する専門性をもった人材が活躍することが重要 - 個人の学習や企業の人材確保・育成の指針として、リテラシーと推進スキルの2つのレベルに分けて「デジタルスキル標準（DSS）」を策定 - DXリテラシー標準（DSS-L）：全てのビジネスパーソンが身につけるべき能力・スキルの標準 - DX推進スキル標準（DSS-P）：DXを推進する人材の役割や習得すべきスキルの標準 - 【活用の有用性】 - 従来の各種スキル標準を再定義して、DXの推進に必要なセキュリティも含めた人材に必要なスキルと知識が網羅的に体系付けられている。DX及びセキュリティに関する今後の人材育成の体系として、全ての従業員、推進の役割を持つ従業員に対して、教育の枠組みとして活用することにより、体系的、網羅的なスキル、知識の習得が効果的に行えると思われる。 - 【要約資料】 - [_DBX2023-01-01\_デジタルスキル標準（DSS)の要約_](https://share.mindmanager.com/#publish/2QAAtGBYpArukyyGybCnglYjdwoTLlciUWcoSO6W) - 【新規】【参照資料】 - [_【IPA】「デジタルスキル標準」第1部デジタルスキル標準の概要【2022年12月21日】_](https://www.ipa.go.jp/files/000106867.pdf) - [_【IPA】「デジタルスキル標準」第2部 DXリテラシー標準【2022年12月21日】_](https://www.ipa.go.jp/files/000106869.pdf) - [_【IPA】「デジタルスキル標準」第3部 DX推進スキル標準【2022年12月21日】_](https://www.ipa.go.jp/files/000106871.pdf) - [_【IPA】デジタルスキル標準ver.1.0【2022年12月】_](https://www.ipa.go.jp/files/000106872.pdf) - [_【IPA】デジタルリテラシー標準EXCEL版【2022年12月】_](https://www.ipa.go.jp/files/000106873.xlsx) - [_【IPA】デジタルスキル標準\_共通スキルリスト（スキルマッピング、スキル項目一覧、学習項目例一覧）EXCEL版【2022年12月】_](https://www.ipa.go.jp/files/000106874.xlsx) ##### DXリテラシー標準（DSS-L） ##### DX推進スキル標準（DSS-P） #### 7.4.4 人材育成・人材確保のための各種スキル標準 - 【要約資料】 - [**★DAX40-06-3 システムの構築に必要なスキル・知識**](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/DAX40-06-3.pdf) - [_DAX96-03 DXの推進と人材育成関連【参考文献要約】_](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/DAX96-03.pdf) - [_INFORMATION 6-6\_App.02 デジタルリテラシーを持つ人材に必要な知識とスキル_](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/344/index.html) - デジタルリテラシー - 「デジタルリテラシー」の習得 - デジタルリテラシーの浸透に向けたツール - デジタルリテラシー領域「Di-Lite」 - [_INFORMATION 6-6 App.04 デジタルリテラシーに「プラス・セキュリティ」_](https://www.cybersecurity.metro.tokyo.lg.jp/security/guidebook/343/index.html) ##### 基礎情報技術者試験シラバス ##### 情報セキュリティマネジメント試験シラバス - 【要約資料】 - [_情報セキュリティマネジメントに要求される知識と技能【シラバス】（MindMap版）_](https://share.mindmanager.com/#publish/K2jOtatRlr1wtU7iKAq2ocMHxC4E4Ck8Zq78Dg-t) / [_（mmapPDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Bib05-13.pdf) ##### デジタルリテラシー領域（Di-Lite） - 組織において、DXの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」も含めた両輪の育成が必要となる。 - 全てのビジネスパーソンがデジタル時代のコア・リテラシーを身につけていくことが求められる。 - スキル・知識の領域 - マインド: デジタルに取り組むスタンス、マインド - 知識体系: デジタル活用分野/適用事例、デジタル知識 - デジタルを扱うスキル - 基礎：使う、作る/なおす - 応用：より上手に使う/広める、発想する/活用方針を示す、新たに作る/教える - 領域をカバーする認定試験等 - ITパスポート試験（iパス） - IT及びデジタルを扱う人が持っているべき基礎知識。「社会人の常識」とされている。 - G検定（ジェネラリスト検定） - AI をビジネスに活用するための基礎素養。AIを活用した事業設計から、関連する法規、契約や倫理にまつわる内容など、広い範囲のビジネス活用の知識。 - データサイエンティスト検定（リテラシーレベル） - データサイエンティストに必要なデータサイエンス力・データエンジニアリング力・ビジネス力についてそれぞれ見習いレベルの実務能力や知識。 ##### ITSS+ - アジャイル開発 - 【要約資料】 - [_Bib10-11 アジャイル開発「ITSS+」（MindMap版）_](https://share.mindmanager.com/#publish/OWGW8DbzDiyxkIgpe9iaHh77VhapLmORbtZHr4Lp) / [_（mmapPDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Bib10-11.pdf) - データサイエンス領域 - 【要約資料】 - [_Bib10-09 データサイエンス領域のスキル標準「ITSS+」（MindMap版）_](https://share.mindmanager.com/#publish/kzpK4r4cEWpl-SU-ucnGkZStn6W9-BVBgEu3CPlI) / [_（mmapPDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Bib10-09.pdf) - セキュリティ領域 - 専門的なセキュリティ業務の役割の観点により、経営課題への対応から設計・開発、運用・保守、セキュリティ監査における13の専門分野を具体化し、それぞれの専門分野ごとのタスクと必要なスキルを定義したもの - 【要約資料】 - [_Bib10-10\_セキュリティ領域のスキル標準「ITSS+」（MindMap版）_](https://share.mindmanager.com/#publish/jMfASMhDCefQjh2OT-zcwGou0Zh-VKHM0M373k5z) / [_（mmapPDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Bib10-10.pdf) - IoTソリューション領域 ##### プラス・セキュリティ - 様々な人材層・部門において、専門人材との協働が求められる。（協働のためには、互いの領域への相互理解が前提となる。） - ユーザ企業の主体的なIT活用・DX実施において経営・事業を担う者がセキュリティ知識を補充できるように ### 7.5 技術的対策 #### 作成する候補となる実施手順書類 - エンドポイントデバイス、特権アクセス権、安全な認証、マルウェアに対する保護、技術的脆弱性の管理、バックアップ、冗長化、ロギング、監視、特権ユーティリティの使用、ネットワークの分離、Webフィルタリング、暗号の使用、開発ライフサイクル、アプリケーションのセキュリティ要件、セキュアコーディング、受入検査時のセキュリティテスト、外部委託開発要件、本番環境の分離、変更管理、テスト情報、情報システムの保護等に関する実施手順書 #### Security by Design - IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。 #### 共同責任モデル - オンプレミス（自社構築）、クラウド（IaaS、PaaS、SaaS） #### 対象領域 - ユーザ、データ、アプリケーション、OS、サーバ、ネットワーク、ストレージ #### 「境界防御モデル」 - FW、VPN、Proxy、IDS、IPS、UTM、EDR等 #### ゼロトラスト、ZTA（Zero Trust Architecture）、SASE（Secure Access Service Edge）のフレームワーク - ゼロトラストとは、「内部であっても信頼しない、外部も内部も区別なく疑ってかかる」という「性悪説」に基づいた考え方 - SASE（Secure Access Service Edge）は、「境界防御モデル」、「セロトラスト」に加えて、ユーザーの利便性や運用の最適化までを含めたセキュリティ対策の概念 - ゼロトラスト、SASE等の概念に含まれる機能の中から組織で必要な機能を選択して実装する - 【要約資料】 - [_SASE(Secure Access Service Edge)とゼロトラストセキュリティ（PDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Sec202202-01.pdf) - [_SASE(Secure Access Service Edge)の概念整理（MindMap版）_](https://share.mindmanager.com/#publish/cgdI8TOQmg8KQtm5D3km235DgDuFd2JVTFkqWZbw) / [_（mmap\_PDF版）_](https://cybersecurity.metro.tokyo.lg.jp/security/docs/Sec33-01.pdf) #### ネットワーク制御（Network as a Service） - VPN - **SD-WAN** - VPNに代わって今後の普及が見込まれる。 - SD-WAN（Software Defined-Wide Area Network）とは、ネットワークをソフトウェアで制御するSDN（Software Defined Networking）の技術をWANに適用し、拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成やトラフィックコントロールなどを実現する技術やサービス #### セキュリティ統制（Security as a Service） - ネットワーク・セキュリティ - SWG (Secure Web Gateway) - Webアクセスを中継するプロキシの一種で、危険なサイトやコンテンツへのアクセスを遮断するセキュリティ機能をクラウドサービスとして提供する - SDP (Software Defined Perimeter) - 仮想的かつ動的なマイクロセグメンテーションおよびセキュアなリモートアクセスを実現する - デバイス・セキュリティ - **EDR (Endpoint Detection and Response)** - エンドポイントの一元管理を行うUEM※4やマルウェア侵入後の対策を支援する - EPP (Endpoint Protection Platform) - エンドポイントを保護するためにプラットフォーム - MDM (Mobile Device Management) - アイデンティティ・セキュリティ - IAM (Identity and Access Management) - IDの管理・認証・認可を行う - **FIDO (Fast Identity Online)** - FIDO認証の持つ大きな特徴は、単に、「パスワードを使わない」「生体認証やセキュリティキーを使う」ということではなく、**「サーバーとユーザーで秘密の情報を共有しない」** こと - 認証結果を公開鍵暗号方式により」ネットワーク上で安全にやりとりするための仕様が定められており、認証に必要な秘密情報は認証を行う端末のみに保存され、ネットワーク上での伝送やサーバーに保存する必要がない - サーバがユーザの秘密（秘密鍵やユーザデバイスの生体認証情報など）を保管しないため、通信経路、事業者側環境から認証情報が漏洩することはない - ワークロード・セキュリティ - CWPP (Cloud Workload Protection Platform) - クラウド上の仮想マシン、データベース、コンテナー、アプリケーション等を中心とした監視と保護のセキュリティソリューション - データ・セキュリティ - DLP (Data Loss Prevention) - 機密情報を特定することで、ユーザではなく、情報に対するアクセスや操作を監視することで漏えいを防止する仕組み。 - 可視化と分析 - CASB (Cloud Access Security Broker) - 統合的にログを管理・可視化・分析するSIEM※6やインターネットアクセスを可視化・制御する - SIEM (Security Information and Event Management) - ファイアウォールや[IDS／IPS](https://www.ntt.com/bizon/glossary/e-i/ips-ids.html)、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃や[マルウェア](https://www.ntt.com/bizon/glossary/j-m/malware.html)感染などのインシデントを検知することを目的とした仕組み - CSPM (Cloud Security Posture Management) - IaaS／PaaSの設定ミス・脆弱性などクラウドのセキュリティ常態を可視化・管理する - 自動化 - SOAR (Security Orchestration and Automation Response) - インシデントレスポンスを自動化する #### IT環境構築・運用実施手順 - Security by Design - IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。 - DevSecOps - DevSecOpsとは、情報システムにおいて開発（Development）と運用（Operations）が密に連携することで、開発にかかる期間を短縮し、リリース頻度を高める開発スタイル。 - このDevOpsにセキュリティ（Security）も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイル。 ##### サービス構築・運用マニュアル - 【参照資料】 - 政府情報システムの整備及び管理に関する標準ガイドライン【一般論】【実務手引書】 #### 従来型開発モデル【ウォーターフォールモデル】での開発プロセス ##### サービス要件定義と留意点 - 要件定義書記載項目（一般要件） - 業務要件 - ・・・ - 業務の継続の方針等 - 業務の継続に伴うリスク及び基本的な考え方。なお、業務継続計画を策定する必要がある業務にあっては当該計画の策定時に検討 - 定常時と大規模災害等の発災時に考慮すべき要因 - 情報セキュリティ対策基準を適用する対策（組織的、人的、物理的対策） - 取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方 - 情報セキュリティ上のリスクを特定し、その対策をシステム化要件（機能要件及び非機能要件）として定義できるように、情報セキュリティ対策の対象となる情報について、情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化 - 機能要件 - ・・・ - 画面（GUI)（GUI)に関する事項 - ユーザ認証等を含めた画面遷移の基本的考え方、画面入出力要件・画面設計要件等 - 外部インタフェース（API)に関する事項 - 外部インタフェース一覧、相手先システム、送受信データ、送受信タイミング、送受信の条件等 - ・・・ - 非機能要件 - ・・・ - 信頼性に関する事項 - 稼働率等の可用性要件・目標値、データの滅失・改変を防止する完全性要件 - 継続性に関する事項 - 障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間等 - 情報セキュリティに関する事項（技術的対策） - 主体認証、アクセス制御、権限管理、ログ取得及びログ管理、暗号化及び電子署名、ソフトウェアの脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策等 - ・・・ ##### 各仕様書の妥当性評価 - 各仕様書の記述内容 - （サービス要件定義書、システム化要件定義書、調達仕様書、開発段階での仕様書、作業指示書、、） - 曖昧性・不確実性の排除 - プロセスと成果物の具体化度を明確にしないで、成果物名のみの提示は齟齬が生じる - 「柔軟に対応できること？」は、工数が見積もれない - 読むべき人が理解できるか？ - その仕様書をインプットとして、難易度の認識、妥当な工数見積もりができるかを評価 - 方法としての選択肢は可 - コストが高くても将来性、柔軟性のある方法 - コストが安いが、当面の課題は解決で - 参考見積書の評価 - 曖昧な仕様書では安全係数が大きくなり、高額な見積もりになる - 業者の高額な参考見積もりを鵜呑みにして安易な要件緩和やスペックダウンはしない - 提案もしくは指示した実施方法が明確な場合は、具体的な作業と要する工数を評価する - ある程度の実地の経験は必要 - 競争入札になれば、適正な価格に近づく。随意契約の場合は、妥当と思われるまで調整する必要がある - 「単価が高いから見積もりが高くなる」という評価は正しくない ##### 開発タスクと作成ドキュメント - ★政府標準ガイドラインに沿った開発タスクとドキュメント、ドキュメントに記載されるべき項目 - 企画段階 - 予算要求～調達準備 - 提案要求～契約 - 設計・開発～本番移行 - 運用開始～保守 - システム監査 ##### 調達方式の決定の判断、調達方式の違いによる仕様書の精緻度 ###### ◇請負業務 - ■公募 - ■一般競争入札 - ◇最低価格落札方式 - 基本は、一般競争入札（最低価格落札方式） - ・仕様書の解釈により、実施内容にブレがでない詳細な仕様提示が必要 - ・予定価格の妥当性の評価は必要だが、業者見積もりの妥当性は評価する能力は求められない - ◇総合評価落札方式 - ・提案者の創意工夫の余地を残し、提案内容の優劣を技術点で評価する - ■企画競争 - ・具体的な実装方式を特定せず、提案者の創意工夫の内容の優劣で評価する - ・業者を選定後は、随意契約として扱われる - ■随意契約 - ・業者の言いなりにならないようにすることが肝要 - 実施内容と業者見積もり額の妥当性を精緻に評価する能力が必要 ###### ◇委任契約 - ・・・ ##### 情報システム関連仕様書・契約書 - 【参照資料】 - [_【旧版】【政府CIO】政府情報システムの整備及び管理に関する標準ガイドライン_](https://cio.go.jp/node/1426) - [_【IPA】改正民法に対応した「情報システム・モデル取引・契約書」_](https://www.ipa.go.jp/ikc/reports/20201222.html) - [_【METI】AI・データの利用に関する契約ガイドライン_](https://cio.go.jp/node/2651) - 【要約資料】 - DAX47-01\_改正民法に対応した「情報システム・モデル取引・契約書」【本文】【実務手引書】 - DAX22-01 AI・データの利用に関する契約ガイドライン（概要資料）（データ編）（AI編） #### アジャイル開発モデルでの進め方と留意点 - 留意点 - 技術的実現性やビジネスの成否が不確実な状況において、全体の要件を確定することは困難。 - 小さな単位で実装とテストを繰り返して、運用時の技術的評価結果や顧客の反応に基づいて、素早く改善を繰り返して完成させていく（以前の表現では、プロトタイピング手法、スパイラス手法に近い） - アジャイル開発では、全体の仕様を確定させて調達する請負業務契約をそのまま適用と、中間成果物、最終成果物の完成度に対する評価等に齟齬が生じる可能性が高い。⇒準委任契約が妥当 - ウォータフォールモデルを参考に、アジャイル開発の固有の概念を反映させる形にカスタマイズしていくこと効率的。 - ※準委任契約の特徴 - 請負契約は、あらかじめ内容が特定された成果物を予定したとおりに完成させることに対して対価を支払う - 準委任契約は、業務を受託したベンダ企業が、専門家としての注意義務を果たしながら業務を遂行することそれ自体に対価を支払う - アジャイルの手法は、ソフトウェア開発に限らず、IT環境、セキュリティ環境構築にも有効な手段。また、このような業務が外注するより、組織内に人材を確保して、できるだげ内製化できる方向で進めることが、ビジネスの発展を見込める - 【参照資料】 - [_【IPA】アジャイル開発版情報システム・モデル取引・契約書ユーザ／ベンダ間の緊密な協働によるシステム開発で、DXを推進_](https://www.ipa.go.jp/ikc/reports/20200331_1.html) - [_【IPA】～情報システム・モデル取引・契約書＜アジャイル開発版＞～アジャイル開発外部委託モデル契約【2021年10月6日更新】_](https://www.ipa.go.jp/files/000081484.pdf) - \[_【IPA】アジャイル領域へのスキル変革の指針【2018年4月】_\] - 【要約資料】 - [_Bib10-11 アジャイル開発「ITSS+」_](https://share.mindmanager.com/#publish/OWGW8DbzDiyxkIgpe9iaHh77VhapLmORbtZHr4Lp) #### 政府標準ガイドラインに沿った開発タスクと必要なスキル・知識の選択的習得 - i コンピテンシディクショナリ（iCD） - 企業においてITを利活用するビジネスに求められる業務（タスク）と、それを支えるIT人材の能力や素養（スキル）を「タスクディクショナリ」、「スキルディクショナリ」として体系化したもので、企業は経営戦略などの目的に応じた人材育成に利用することができる。 - iCD2022 では、ITSS＋「データサイエンス領域」2021改訂版、情報処理技術者試験試験要綱Ver.5.1に対応 - タスクプロフィール一覧 - タスク一覧 - スキル一覧 - 知識一覧 - 認定試験レベル - 情報処理技術者試験等×スキル対応 - 【参照資料】 - [_【IPA】iコンピテンシディクショナリ（iCD2022）_](https://www.ipa.go.jp/jinzai/hrd/i_competency_dictionary/download.html) - [_【IPA】iCD2022\_iコンピテンシディクショナリ解説書_](https://www.ipa.go.jp/files/000060168.pdf) - 【要約資料】 - _政府標準ガイドライン等に沿ったシステム構築と運用_【公開準備中】 - _政府ガイドライン、iコンピテンシ・ディクショナリの適用_【公開準備中】 #### インシデント対応マニュアル - [_【事例】徳島県つるぎ町立半田病院コンピュータウイルス感染事案有識者会議調査報告書について_](https://www.handa-hospital.jp/topics/2022/0616/index.html) - [_【追加】【NISC】サイバー攻撃を受けた組織における対応事例集（実事例における学びと気づきに関する調査研究）_](https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf) - [_【追加】【CSIRT】CSIRT⼈材の育成Ver.1.0_](https://www.nca.gr.jp/activity/imgs/development-hr20220331.pdf) - 「CSIRT ⼈材の定義と確保 Ver.2.11」により定義されたCSIRTに必要な役割とスキルをベースとして、その役割毎にどのように育成していくのかという解決策、また要員不⾜に対しては兼任できる役割をグループ化して育成するという解決策をベストプラクティスとして集約 - [_【追加】【総務省】サイバー攻撃被害に係る情報の共有・公表ガイダンス【2023年3月8日】_](https://www.soumu.go.jp/main_content/000867112.pdf) - [_【追加】【総務省】サイバー攻撃被害に係る情報の共有・公表ガイダンスの概要【2023年3月8日】_](https://www.soumu.go.jp/main_content/000867113.pdf) - 【要約資料】 - [_MISSION 4-1～4-6 緊急時対応用マニュアルの作成_](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/222/index.html) - [_INFORMATION 6-1 App.01 もしかしてサイバー攻撃？緊急時には、ここに連絡を！【クイックリスト】【詳細版】_](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/355/index.html) - [_INFORMATION 6-2 App.01 やられる前に、しっかり予防を！ここに相談！【詳細版】_](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/356/index.html) #### IT部門と事業部門の連携による顧客課題の解決 - 事業部門の参画 ### 7.6 物理的対策 - 物理的なセキュリティ境界、物理的セキュリティの監視、物理的および環境的脅威からの保護、オフプレミスの資産のセキュリティ、機器のメンテナンス - 入退室認証システム - BYOD（Bring Your Own Device） - 【参照資料】[_「BYOD」導入検討企業向け情報提供ページ_](https://www.saj.or.jp/activity/support/sample/byod.html) - MDM（Mobile Device Management） - 【参考資料】[_MDMってどうして必要なの？機能や導入ポイントをわかりやすく解説_](https://www.optimalbiz.jp/blog/why-we-need-mdm/) - IT機器廃棄手順等 ### 7.7 セキュリティ対策状況の有効性評価 - 内部点検 - 当事者による検査 - 内部監査 - 組織内の当事者以外の者による検査 - 自社のルールや文書が要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすること - ドキュメント：1)内部監査計画 2)内部監査チェックリスト 3)内部監査報告書等 - 外部監査 - 組織外の者による検査 - 第三者認証 - [_ISMS適合性評価制度_](https://isms.jp/isms.html) 7fff6322b3dede055e21f0e86f6bd3f5 ### 備考 #### 改版履歴 - 2023年3月14日「ナレッジベース2023」として、トップページ、インデックス本編1～8、Annexに分割 - 2023年3月10日『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5（EPUBリフロー版）として公開 - 2021年10月7日試験公開を開始『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク - ⇒ [セキュリティ関連知識の保管庫（ナレッジベース2023）（Web版）](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/)\> - ⇒ [**【本編01】サイバーセキュリティを取り巻く背景**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/458/index.html) - ⇒ [**【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/459/index.html) - ⇒ [**【本編03】これからの企業経営で必要な観点【社会の動向】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/460/index.html) - ⇒ [**【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/461/index.html) - ⇒ [**【本編05】網羅的なセキュリティ対策を知る【フレームワーク】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/462/index.html) - ⇒ [**【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/463/index.html) - ⇒ [**【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/464/index.html) - ⇒ [**【本編08】全体総括】**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/465/index.html) - ⇒ [**【Annex】セキュリティ関連関連資料**](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/457/index.html) - ⇒ [＜【2022年版凍結】セキュリティ関連知識の保管庫（ナレッジベース）（Web版）＞](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/456/index.html) - ⇒ [ガイドブック『中小企業向けサイバーセキュリティ対策の極意』のページ](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/index.html) - ⇒ [**電子書籍（EPUB版）の閲覧**](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/368/index.html) - ⇒ [『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト](https://cybersecurity.metro.tokyo.lg.jp/)