★中小企業向けサイバーセキュリティの実践ハンドブック【2023年版】

# 中小企業向けサイバーセキュリティの実践ハンドブック > ## Excerpt > 本ハンドブックは、組織内におけるシステム管理者等（システム管理などの実務に責任を持つ方々）に向けて作成された小冊子です。 --- ## 『中小企業向けサイバーセキュリティの実践ハンドブック』～中小企業も安心！セキュリティ対策でDXを加速～ 2023年度版 (2024/04/15版) ### 中小企業向けサイバーセキュリティの実践ハンドブック #### PDF版 [ダウンロード［9.6MB］](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2023_Text.pdf) #### PowerPoint版 [ダウンロード［8.2MB］](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/Tokyo_CyberSecurity_HandBook_2023_Text.pptx) #### EPUB版 [ダウンロード［24MB］](https://www.cybersecurity.metro.tokyo.lg.jp/security/docs/bibi-bookshelf/Tokyo_CyberSecurity_HandBook_2023_Text.epub) #### WEB版 [[実践ハンドブック_はじめに]] ### 第1編サイバーセキュリティを取り巻く環境および中小企業に求められるサイバーセキュリティ対策 #### 第1章. デジタル時代の社会とIT情勢 - 1-1. デジタル時代の社会変革とIT情勢の関係性 - [[01-1-1_社会の現状と今後の動向]] #### 第2章. 事例を知る：重大なインシデント発生から課題解決まで - 2-1. 情報セキュリティの概況 - [2-1-1. 情報セキュリティの脅威を学ぶ](https://tcyss1.github.io/summary/seminar01/page2-1-1.html) - [2-1-2. IPA：情報セキュリティ白書から見る脅威](https://tcyss1.github.io/summary/seminar01/page2-1-2.html) - [2-1-3. IPA：情報セキュリティ10大脅威](https://tcyss1.github.io/summary/seminar01/page2-1-3.html) - 2-2. 重大インシデント事例から学ぶ課題解決 - [2-2-1. インシデント事例から学ぶ](https://tcyss1.github.io/summary/seminar01/page2-2-1.html) - [2-2-2. 最近の攻撃トレンド、および中小企業にも発生しうるサイバー被害事例](https://tcyss1.github.io/summary/seminar01/page2-2-2.html) - [2-2-3. 事案発生->課題の抽出->再発防止策の実施までの流れ](https://tcyss1.github.io/summary/seminar01/page2-2-3.html) - [2-2-4. インシデントから得た気づきと取組](https://tcyss1.github.io/summary/seminar01/page2-2-4.html) - [2-2-5. ランサムウェア感染の実態](https://tcyss1.github.io/summary/seminar01/page2-2-5.html) - 2-3. 実際の被害事例からみるケーススタディ - [2-3-1. 最近のサイバー被害事例発生の傾向](https://tcyss1.github.io/summary/seminar01/page2-3-1.html) - [2-3-2. 事例：某病院のランサムウェア被害](https://tcyss1.github.io/summary/seminar01/page2-3-2.html) - [2-3-3. 具体的な対応策](https://tcyss1.github.io/summary/seminar01/page2-3-3.html) #### 第3章. サイバーセキュリティの基礎知識 - 3-1. 導入済と想定するセキュリティ対策機能 - [[3-1-1_UTM、EDRの概要]] - 3-2. 各種資格試験から得るサイバーセキュリティの基礎知識 - [[3-2-1_情報処理技術者向け国家試験体系]] - 3-3. Security Action（セキュリティ対策自己宣言） - [[3-3-1_Security Action 二つ星レベル]] - [[3-3-2_情報セキュリティ5か条]] - [[3-3-3_情報セキュリティ自社診断]] - [[3-3-4_情報セキュリティ基本方針]] - 3-4.サイバーセキュリティアプローチ方法 - [[3-4-1_サイバーセキュリティアプローチ方法の概要]] - [[3-5-1_コラム “情報セキュリティ”と“サイバーセキュリティ”の違いについて]] ### 第2編これからの企業経営で必要な攻めと守りのIT活用およびサイバーセキュリティ対策 #### 第4章. 企業経営で重要となるIT投資と投資としてのサイバーセキュリティ対策 - 4-1. これからの企業経営で必要な観点：社会の動向 - [[4-1-1_現実社会とサイバー空間の繋がり]] - [[4-1-2_IT活用における課題]] - 4-2. 守りのIT投資と攻めのIT投資 - [[4-2-1_守りのIT投資、攻めのIT投資の概要]] - [[4-2-2_経済産業省のDXレポートから見る、「攻めのIT」に取組む方針について]] - [[4-2-3_ITを活用した生産性の向上（デジタルオプティマイゼーション）]] - [[4-2-4_ITを活用した新たなビジネスの展開（デジタルトランスフォーメーション）]] - [[4-2-5_次世代技術を活用したビジネス展開]] - 4-3. 経営投資としてのサイバーセキュリティ対策 - [[4-3-1_サイバーセキュリティ対策の重要性]] - [[4-3-2_経営者が重要視すべき3つのポイント]] ### 第3編サイバーセキュリティに関する国の方針・施策およびサイバー脅威の動向 #### 第5章. デジタル社会の方向性と実現に向けた国の方針 - 5-1. 国の基本方針および実施計画の要約 - [5-1-1. 経済財政運営と改革の基本方針2023](https://tcyss1.github.io/summary/seminar03/page5-1-1.html) - 5-2. 政府機関が目指す社会の方向性とサイバーセキュリティ課題 - [5-2-1. デジタル社会の実現に向けた重点計画](https://tcyss1.github.io/summary/seminar03/page5-2-1.html) - [5-2-2. Society5.0](https://tcyss1.github.io/summary/seminar03/page5-2-2.html) - [5-2-3. DXの推進](https://tcyss1.github.io/summary/seminar03/page5-2-3.html) #### 第6章. サイバーセキュリティ戦略および関連法令 - 6-1. NISC：サイバーセキュリティ戦略 - [[6-1-1_サイバーセキュリティ戦略]] - [[6-1-2_企業経営のためのサイバーセキュリティの考え方]] - [[6-1-3_DX with Cybersecurity]] - 6-2. 関連法令 - [[6-2-1_個人情報保護法]] - [[6-2-2_GDPR]] - [[6-3-1_コラム “デジタルトランスフォーメーション”と“デジタル化”の関係について]] ### 第4編サイバーセキュリティ対策におけるフレームワークの体系 #### 第7章. セキュリティフレームワーク - 7-1. セキュリティフレームワークの概要 - [[7-1-1_セキュリティフレームワークの役割と重要性]] - [[7-1-2_フレームワーク選択の重要性]] - 7-2.情報セキュリティマネジメントシステム（ISMS）[ISO/IEC27001:2022, 27002:2022] - [[7-2-1_ISMSの概要]] - [[7-2-2_ISMSの要素と要件]] - [[7-2-3_ISMSの実装と認証]] - 7-3. NIST サイバーセキュリティフレームワーク（CSF） - [[7-3-1_NIST サイバーセキュリティフレームワーク（CSF）の概要]] - [[7-3-2_NIST サイバーセキュリティフレームワーク（CSF）の構成]] - [[7-3-3_NIST SP 800]] - [[7-3-4_ISMSとの関連性]] - 7-4. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF） - [[7-4-1_CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）の概要]] - 7-5. サイバーセキュリティ経営ガイドライン - [[7-5-1_サイバーセキュリティ経営ガイドライン]] - [[7-5-2_サイバーセキュリティ経営ガイドラインの読み方]] - [[7-5-3_サイバーセキュリティ経営ガイドラインの実践の流れ]] - [[7-6-1_コラム ISMS_ISO_IEC27001認証の取得にあたって]] ### 第5編組織として策定すべき対策基準及び情報セキュリティの三大要素【対策基準レベル①】 #### 第8章. セキュリティ対策基準の策定 - 8-1. 対策基準の策定 - [[8-1-1_セキュリティ対策基準の概要]] - [[8-1-2_対策基準策定のアプローチ方法]] #### 第9章. 管理策のテーマと属性 - 9-1. 管理策の分類と構成 - [[9-1-1_管理策：ISOIEC 27002]] - [[9-1-2_管理策のテーマと属性]] #### 第10章. 脅威、脆弱性、リスクの定義と関係性 - 10-1. 用語の定義および関係性と識別方法 - [[10-1-1_用語の定義と関係性]] - [[10-1-2_脅威の識別]] - [[10-1-3_脆弱性の識別]] - [[10-2-1_コラム情報セキュリティのCIA＋4要素]] ### 第6編セキュリティリスク評価及び対策基準に記載されるべき管理策【対策基準レベル②】　 #### 第11章. リスクマネジメント - 11-1. リスクマネジメント：概要 - [[11-1-1_リスクマネジメントプロセス（ISO31000）]] - [[11-1-2_情報セキュリティリスクマネジメント（ISOIEC27005）]] - [[11-1-3_ISOIEC 27001におけるリスクマネジメント手順]] - 11-2. リスクマネジメント：リスクアセスメント - [[11-2-1_リスク基準の確立]] - [[11-2-2_リスクの特定]] - [[11-2-3_リスクの分析]] - [[11-2-4_リスクの評価]] - 11-3. リスクマネジメント：リスク対応 - [[11-3-1_対策案の検討]] ### 第7編組織として実施すべき具体的な対策事項・手順【実施手順・実施者マニュアルレベル①】 #### 第12章. 具体的手順の作成（LV.1 クイックアプローチ/LV.2 ベースラインアプローチ） - 12-1. 【LV.1 クイックアプローチ】【LV.2 ベースラインアプローチ】の概要 - [[12-1-1_クイックアプローチ・ベースラインアプローチ]] - 12-2. 【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順 - [[12-2-1_セキュリティインシデント事例を参考とした実施手順]] - 12-3. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順 - [[12-3-1_情報セキュリティ対策ガイドラインの活用]] #### 第13章. ISMSの要求事項と構築（LV.3 網羅的アプローチ） - 13-1. 【LV.3 網羅的アプローチ】の概要 - [[13-1-1_LV.3 網羅的アプローチ]] - 13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順 - [[13-2-1_ISMSの概要（確立・運用・監視）]] - [[13-2-2_ISMS：4. 組織の状況]] - [[13-2-3_ISMS：5. リーダーシップ]] - [[13-2-4_ISMS：6. 計画]] - [[13-2-5_ISMS：7. 支援]] - [[13-2-6_ISMS：8. 運用]] - [[13-2-7_ISMS：9. パフォーマンス評価]] - [[13-2-8_ISMS：10. 改善]] - [[13-2-9_コラム　ISMSの導入：成功の鍵とよくある落とし穴]] ### 第8編組織的対策と人的対策【実施手順・実施者マニュアルレベル②】 #### 第14章. 組織的管理策 - 14-1. 組織的管理策を参考とした対策基準・実施手順の策定 - [[14-1-1_対策基準の策定]] - [[14-1-2_実施手順の策定]] #### 第15章. 人的管理策 - 15-1. 人的管理策を参考とした対策基準・実施手順の策定 - [[15-1-1_対策基準の策定]] - [[15-1-2_実施手順の策定]] ### 第9編技術的対策と物理的対策およびセキュリティ対策状況の有効性評価【実施手順・実施者マニュアルレベル③】 #### 第16章. 物理的管理策 - 16-1. 物理的管理策を参考とした対策基準・実施手順の策定 - [[16-1-1_対策基準の策定]] - [[16-1-2_実施手順の策定]] - 16-2. 各種テーマごとの対策 - [[16-2-1_BYOD（Bring Your Own Device）]] - [[16-2-2_MDM（Mobile Device Management）]] #### 第17章. 技術的管理策 - 17-1. 技術的管理策を参考とした対策基準・実施手順の策定 - [[17-1-1_対策基準の策定]] - [[17-1-2_実施手順の策定]] - 17-2. 各種テーマごとの対策 - [[17-2-1_Security by Design]] - [[17-2-2_ゼロトラスト・境界防御モデル]] - [[17-2-3_ネットワーク制御]] - [[17-2-4_セキュリティ統制]] - [[17-2-5_インシデント対応]] #### 第18章. セキュリティ対策状況の有効性評価 - 18-1. 内部監査・外部監査 - [[18-1-1_内部監査]] - [[18-1-2_外部監査]] - [[18-2-1_コラム　実施手順の文書化に関するポイント]] ### 第10編全体総括 #### 第19章. 総括編 - 19-1. 全体要旨 - [19-1-1. テキストの活用](https://tcyss1.github.io/summary/seminar10/page19-1-1.html) - [19-1-2. 中小企業の情報セキュリティ対策](https://tcyss1.github.io/summary/seminar10/page19-1-2.html) - 19-2. 各章のポイント - [19-2-1. 第1章. デジタル時代の社会とIT情勢](https://tcyss1.github.io/summary/seminar10/page19-2-1.html) - [19-2-2. 第2章. 事例を知る：重大なインシデント発生から課題解決まで](https://tcyss1.github.io/summary/seminar10/page19-2-2.html) - [19-2-3. 第3章. サイバーセキュリティの基礎知識](https://tcyss1.github.io/summary/seminar10/page19-2-3.html) - [19-2-4. 第4章. 企業経営で重要となるIT投資と投資としてのサイバーセキュリティ対策](https://tcyss1.github.io/summary/seminar10/page19-2-4.html) - [19-2-5. 第5章. デジタル社会の方向性と実現に向けた国の方針](https://tcyss1.github.io/summary/seminar10/page19-2-5.html) - [19-2-6. 第6章. サイバーセキュリティ戦略および関連法令](https://tcyss1.github.io/summary/seminar10/page19-2-6.html) - [19-2-7. 第7章. セキュリティフレームワーク](https://tcyss1.github.io/summary/seminar10/page19-2-7.html) - [19-2-8. 第8章. セキュリティ対策基準の策定](https://tcyss1.github.io/summary/seminar10/page19-2-8.html) - [19-2-9. 第9章. 管理策のテーマと属性](https://tcyss1.github.io/summary/seminar10/page19-2-9.html) - [19-2-10. 第10章. 脅威、脆弱性、リスクの定義と関係性](https://tcyss1.github.io/summary/seminar10/page19-2-10.html) - [19-2-11. 第11章. リスクマネジメント](https://tcyss1.github.io/summary/seminar10/page19-2-11.html) - [19-2-12. 第12章. 具体的手順の作成（LV.1 クイックアプローチ/LV2. ベースラインアプローチ）](https://tcyss1.github.io/summary/seminar10/page19-2-12.html) - [19-2-13. 第13章. ISMSの要求事項と構築（LV3. 網羅的アプローチ）](https://tcyss1.github.io/summary/seminar10/page19-2-13.html) - [19-2-14. 第14章. 組織的管理策](https://tcyss1.github.io/summary/seminar10/page19-2-14.html) - [19-2-15. 第15章. 人的管理策](https://tcyss1.github.io/summary/seminar10/page19-2-15.html) - [19-2-16. 第16章. 物理的管理策](https://tcyss1.github.io/summary/seminar10/page19-2-16.html) - [19-2-17. 第17章. 技術的管理策](https://tcyss1.github.io/summary/seminar10/page19-2-17.html) - [19-2-18. 第18章. セキュリティ対策状況の有効性評価](https://tcyss1.github.io/summary/seminar10/page19-2-18.html) - 19-3. 読者に今後行ってほしいこと - [19-3-1. 今後のアクション](https://tcyss1.github.io/summary/seminar10/page19-3-1.html) - [おわりに](https://tcyss1.github.io/summary/seminar10/column.html) - [引用文献](https://tcyss1.github.io/summary/quotes.html) - [参考文献](https://tcyss1.github.io/summary/references.html) - [用語集](https://tcyss1.github.io/summary/glossary.html) ### 別添資料 - [1. ISO/IEC 27002:2022 管理策と目的](https://tcyss1.github.io/summary/betten/betten01.html) - [2. パスワードの作り方と管理方法](https://tcyss1.github.io/summary/betten/betten02.html) - [3. サイバーセキュリティフレームワーク参考資料](https://tcyss1.github.io/summary/betten/betten03.html) - [4. CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）参考資料](https://tcyss1.github.io/summary/betten/betten04.html) ### セミナースライド ### 備考 #### ●更新履歴 - 2024年4月15日　『中小企業向けサイバーセキュリティの実践ハンドブック』ページを公開 #### ●刊行物の利用についてこの刊行物は、東京都が著作権を保有しておりますが、利用に際しては、非営利目的、サイバーセキュリティ対策の普及・啓発目的であれば、事前の申請等は必要ありません。全体を利用されるのであればそのままご利用いただけます。また、一部分の「引用・参考・参照・転載」であれば、出典元を明記して頂ければご利用いただけます。 #### ●刊行物のライセンスこのガイドブックは、利用の条件として、クリエイティブコモンズライセンス「表示-非営利-継承4.0国際（CC BY-NC-SA 4.0）」を適用しています。 - ※「表示-非営利-継承4.0国際（CC BY-NC-SA 4.0）」とは、原作者のクレジット（氏名、作品タイトルなど）を表示し、かつ非営利目的に限り、また改変を行った際には元の作品と同じ組み合わせのCCライセンスで公開することを主な条件に、改変したり再配布したりすることができるCCライセンスです。 ### 他のページへのリンク - ⇒ [『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト](https://cybersecurity.metro.tokyo.lg.jp/)