セキュリティ関連知識の保管庫（ナレッジベース2024）

--- ```table-of-contents title: minLevel: 0 maxLevel: 0 includeLinks: true ``` --- ## セキュリティ関連知識の保管庫（ナレッジベース2024） ### [[★中小企業サイバーセキュリティ関連ニュースクリップページ]] - [中小企業サイバーセキュリティ関連ニュースクリップ](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/506/index.html)【公開サイト】 - IT関連、サイバーセキュリティ関連のニュースの中から、特に中小企業、個人でも考慮していただきたい情報にフォーカスしたニュースの要約を、できるだけタイムリーに提供していきます。 ### [[CyberSecurity/【確認後削除】FAQ/★サイバーセキュリティ関連のよくある質問（FAQ）]] - [サイバーセキュリティ関連のよくある質問（FAQ）【工事中】](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/528/index.html)【公開サイト】 - サイバーセキュリティ関連の相談、届け出先のクイックリスト、および、当窓口に寄せられた相談等のなかで、特に多く寄せられている質問に対しての回答をリストアップしています。 ### [[CyberSecurity/【確認後削除】FAQ/★サイバーセキュリティ関連の相談及び届け出窓口の探し方]] - [サイバーセキュリティ関連の相談及び届け出窓口の探し方【工事中】](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/527/index.html)【公開サイト】 - IT関連、サイバーセキュリティ関連でどこに相談したらいいかわからない場合、「サイバーセキュリティ関連の相談及び届け出窓口の探し方」のチェックポイントを参考に適切な対応窓口にご相談ください。 ## セキュリティ関連知識の保管庫【本編】（2023） - ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の続編のために要約した次世代IT技術、サイバーセキュリティ対策関連の知識の保管庫（ナレッジベース）です。 - 国際標準、NISC,METI,IPA等の政府関連機関が提供するフレームワーク・ガイドライン等の最新版をベースとして、_実践的な情報への道しるべとなる情報_を提供します。 ### [[【本編01】サイバーセキュリティを取り巻く背景]] （目的：クラウドワークロードの複雑化、サプライチェーンの脆弱性、IoT、DX等、新しいテクノロジーへのセキュリティ対策が求められている状況を解説し、Society5.0等で示されている社会の方向性と実現に向けた基本概念、その環境下で中小企業に求められる考え方を提示する） #### 1.1 目標とする対策のレベルを想定 - （クイックアプローチ・ベースラインアプローチ・網羅的アプローチ） #### 1.2 【事例を知る】重大なインシデント発生から課題解決まで - （要旨・キーワード等：最近の攻撃トレンドを踏まえ、中小企業にも発生しうるサイバー攻撃・被害をケーススタディとして掲載） #### 1.3 【社会の動きを知る】社会の現状と今後の動向 - （要旨・キーワード等：Society5.0、Cybersecurity for All、DX with Security、プラス・セキュリティ、デジタルリテラシー　等） - _DX時代に対応が求められるIT環境_ - （要旨・キーワード等：IoT、ビッグデータ、ロボット、AI、5G　等） - _DX時代に不可欠な人材の確保_ - （要旨・キーワード等：DX with Securityで必要な人材の役割とスキル　等） ### [[【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】]] - （目的：向上支援事業にて到達すると想定されるレベル（Security Action二つ星宣言）の基礎知識を振り返る） #### サイバーセキュリティに関する基礎知識 - （要旨・キーワード等：各種試験シラバス（ITパスポート、基本情報処理技術者、情報セキュリティマネジメント）等より基礎知識を掲載） #### Security Action（IPA） - （要旨・キーワード等：情報セキュリティ5か条、情報セキュリティ基本方針、情報セキュリティ自社診断　等） ### [[【本編03】これからの企業経営で必要な観点【社会の動向】]] - （目的：企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する） #### 現実社会とサイバー空間の繋がり - （要旨・キーワード等：サプライチェーンを構成する企業と企業が、フィジカル空間とサイバー空間で繋がっていることを掲載） #### 守りのIT活用 - （要旨・キーワード等：社内業務の効率性・生産性向上や働き方の変革　（デジタルオプティマイゼーション）等） #### 攻めのIT活用 - （要旨・キーワード等：ビジネスの発展や売上・企業価値の向上　（デジタルトランスフォーメーション）等） #### 経営投資としてのサイバーセキュリティ対策 - （要旨・キーワード等：DX白書（IPA）等より経営投資としてのサイバーセキュリティ対策の必要性を掲載） ### [[【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】]] - （目的：社会全体におけるサイバーセキュリティの現状を解説する） #### 国の方針・施策 - （要旨・キーワード等：経済財政運営と改革の基本方針、サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ2022、情報セキュリティ白書） #### 脅威 - （要旨・キーワード等：情報セキュリティ10大脅威、サイバー攻撃・犯罪の情勢） #### 法令遵守 - （要旨・キーワード等：関係法令Q&Aハンドブック（NISC）等より法令遵守に関する事項を掲載、GDPR、個人情報保護） ### [[【本編05】網羅的なセキュリティ対策を知る【フレームワーク】]] - （目的：業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する） #### 網羅的な対策のフレームワーク - （要旨・キーワード等：ISO/IEC27001:2022、ISO/IEC27002:2022が示すマネジメント基準・管理策基準、5つの属性とその中身） - （要旨・キーワード等：政府機関、重要インフラとの連携において、NIST文書（SP800シリーズ、CSF（重要インフラのサイバーセキュリティを改善するフレームワーク））等を補足） #### 5.0 ITシステム管理・監査関連のフレームワーク #### 5.1 情報セキュリティマネジメントシステム（ISMS） #### 5.2 サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF） #### 5.3 セキュリティ関連NIST文書 #### 5.4 サイバーセキュリティ経営の基本的な姿勢 - （要旨・キーワード等：経営者が認識すべき３原則、サイバーセキュリティ経営の重要10項目） ### [[【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】]] - （目的：網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策（対策基準レベル）の概要を解説する。） #### 対策基準の策定目標 - （要旨・キーワード等：組織の規模、状況を想定して、①インシデント事例に対応したレベル、②IPA「中小企業の情報セキュリティガイドライン」等のサンプル、ひな形をベースとしたレベル、③ISMSに準拠した対策等にレベルを分けて掲載） #### 情報セキュリティの三大要素（CIA） - （要旨・キーワード等：機密性・完全性・可用性） #### リスク評価 - （要旨・キーワード等：組織に関連する脅威、脆弱性、情報の重要度） #### 対策基準に記載されるべき各管理策 - （要旨・キーワード等：フレームワーク等に記載された組織的対策、人的対策、物理的対策、技術的対策から、中小企業のレベルに応じて必要十分な管理策の項目とポイントを掲載） #### 6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】 #### 6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】 #### 6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】 ### [[【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】]] - （目的：中小企業が策定した対策基準に基づいて具体的に実施する内容、手順（実施手順レベル）を解説する。対策基準に記載された対策の具体的な実施のためにドキュメント化（仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等）して、順次実施すべき事項をひな形等で解説する。） #### 7.1 実施手順としての作成ドキュメントおよび作成手順 - （要旨・キーワード等：作成するドキュメントの種類を提示（必要に応じて、組織内の所掌等に応じて分冊になることも想定）） - 7.1.1 作成すべきドキュメント（共通及び職種等別） #### 自社の現状にあった対策レベルの想定 - 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】 - 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】 - 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】 #### 7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順 - （要旨・キーワード等：守るべき情報資産、情報資産への脅威（攻撃）、現状の脆弱性、AsIsのリスク分析、ToBeの設定） #### 7.3 組織的対策 - （要旨・キーワード等：脅威インテリジェンス、情報資産台帳、IT-BCP、インシデント対応マニュアル、知的財産、プライバシー、セキュリティ対策状況の点検） #### 7.4 人的対策 - （要旨・キーワード等：雇用契約書、懲戒手続き、雇用の終了の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティイベントの報告手順書等の作成。人材育成・人材確保：IT及びデジタル人材に必要となるスキル（ITSS+、Di-Lite（デジタルリテラシー領域）、プラス・セキュリティ等）、チェンジマインド、リスキリングのための実施計画及び教育・研修、スキル認定の実施内容） ##### 7.4.2 IT及びデジタル人材の確保 ##### 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準（DSS）】 - (※DX推進における人材の重要性を踏まえ、個人の学習や企業の人材確保・育成の指針（2022年12月21日に公開された「デジタルスキル標準（DSS）」を中心に）） - DXリテラシー標準（DSS-L） - DX推進スキル標準（DSS-P） ##### 7.4.4 人材育成・人材確保のための各種スキル標準 - (※DXへの対応、セキュリティ対策に必要な知識、スキルを効率的に習得するため各種スキル標準) #### 7.5 技術的対策 - （要旨・キーワード等：境界防御モデル、ZTA（Zero Trust Architecture）、SDP（Software Defined Perimeter）、SASE（Secure Access Service Edge）等のセキュリティフレームワークで示される機能の実装：共同責任モデル（オンプレミス、クラウド）、対象領域（ユーザ・データ・アプリケーション・OS・サーバ・ネットワーク・ストレージ）、ネットワーク制御（VPN,SD-WAN）、セキュリティ統制（ネットワーク、デバイス、アイデンティ、ユーザ認証（FIDO等）、データ、可視化・分析、自動化等）） - （要旨・キーワード等：Security by Design、DevSecOps、開発・運用の委託契約、IT部門と事業部門の連携による顧客課題の解決、システム構築・運用マニュアル、インシデント対応マニュアル（防御・検知・対応・復旧）） - ～ゼロトラスト、ZTA、SASEのフレームワーク - ～IT環境構築・運用実施手順 - ～インシデント対応マニュアル - ～情報システム関連仕様書・契約書 #### 7.6 物理的対策 - （要旨・キーワード等：物理的なセキュリティ境界、脅威からの保護、監視（入退室認証システム、BYOD、MDM）、オフプレミスの資産のセキュリティ、機器のメンテナンス、IT機器廃棄手順等） #### 7.7 セキュリティ対策状況の有効性評価 - （要旨・キーワード等：内部点検、外部監査、（第三者認証）の実施、継続的改善） ### [[【本編08】全体総括＜セキュリティ関連知識の保管庫＞]] - （目的：テキスト全体のポイントを振り返り、知識を定着させる。また、セキュリティ人材として自走するために必要な考え方等を提示する。） ### 【Annex 】別紙資料 #### Annex-1 関係法規、各種規程、フレームワーク等の紹介 #### Annex-2 用語解説 #### Annex-3 参考すべき資料・文献リスト ### [[【Appendix】追補資料（最新動向等）＜セキュリティ関連知識の保管庫＞]] - _具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。_ ### 主な資料・文献名（発行元別） - [[「ナレッジベース」で参照している主な資料・文献名（発行元別）]] ### 備考 #### 改版履歴 2023.7.18 - 2023年7月18日関係機関が発行する資料の2023年度版を追記 - 2023年5月8日「ナレッジベース」で参照している主な資料・文献名（発行元別）更新 - 2023年3月27日サイバーセキュリティ経営ガイドライン Ver3.0【2023年3月24日】の要約更新 - 2023年3月14日「ナレッジベース2023」として、トップページ、インデックス本編1～8、Annexに分割 - 2023年3月10日『中小企業向けサイバーセキュリティ対策の極意』Ver.2.2.5（EPUBリフロー版）として公開 - 2023年3月10日「サイバー攻撃被害に係る情報の共有・公表ガイダンス」追記 - 2023年2月27日 DX白書2023、「インターネットの安全・安心ハンドブック Ver.5.00」追記 - 2023年2月7日「内閣サイバーセキュリティセンター重要インフラグループ関係規程集」追記 - 2023年1月23日 iコンピテンシディクショナリ（iCD2022）を追加 - 2023年1月4日 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準（DSS）】を追加 - 2022年11月22日知識の保管庫（ナレッジベース）Ver.2.0として、「極意」の続編と位置づけ、フレームワークに準拠した体系的なセキュリティ対策の教則本の目次としてリニューアル。 - 2022年7月11日「サイバーセキュリティ2022（2021年度年次報告・2022年度年次計画）」のポイント要約を追加 - 2022年6月25日各ドキュメントのMindMap版を追加 - 2022年2月17日「東京都デジタル人材確保・育成基本方針」の要約を追加 - 2022年2月8日セキュリティ対策を確実にするための⼈材育成の事業紹介を追加 - 2022年1月28日補足・コラム、個人情報保護関連を追加 - 2022年1月20日 NIST関連、デジタル社会の実現に向けた改革関連を追加 - 2022年1月18日 ISO/IEC 27002、個人情報保護法の改正関連を追加 - 2022年1月11日 ITSS+関連を追加 - 2021年12月27日「サイバーセキュリティ戦略（NISC）」の要約等を追加 - 2021年10月7日試験公開を開始 #### 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク - ⇒ [セキュリティ関連知識の保管庫（ナレッジベース2023）（Web版）](https://www.cybersecurity.metro.tokyo.lg.jp/security/KnowLedge) - ⇒ [【本編01】サイバーセキュリティを取り巻く背景](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/458/index.html) - ⇒ [【本編02】サイバーセキュリティに関する基礎知識【前提となる組織とスキル】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/459/index.html) - ⇒ [【本編03】これからの企業経営で必要な観点【社会の動向】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/460/index.html) - ⇒ [【本編04】社会全体におけるサイバーセキュリティの現状【国等の方針・施策】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/461/index.html) - ⇒ [【本編05】網羅的なセキュリティ対策を知る【フレームワーク】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/462/index.html) - ⇒ [【本編06】中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/463/index.html) - ⇒ [【本編07】中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/464/index.html) - ⇒ [【本編08】全体総括】](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/465/index.html) - ⇒ [【Annex】セキュリティ関連関連資料](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/457/index.html) - ⇒ [＜【2022年版凍結】セキュリティ関連知識の保管庫（ナレッジベース）（Web版）＞](https://cybersecurity.metro.tokyo.lg.jp/security/KnowLedge/456/index.html) - ⇒ [ガイドブック『中小企業向けサイバーセキュリティ対策の極意』のページ](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/index.html) - ⇒ [電子書籍（EPUB版）の閲覧](https://cybersecurity.metro.tokyo.lg.jp/security/guidebook/368/index.html) - ⇒ [『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト](https://cybersecurity.metro.tokyo.lg.jp/)