![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2022-09-14T23:03:45+00:00","default:hotate","hotate") #author("2023-01-27T05:00:51+00:00","default:hotate","hotate") #contents &tag(経産省,セキュリティ,セキュリティ対策,ガイドライン); * 情報 [#j1297a13] - [[サイバーセキュリティとは?情報セキュリティとの違いを含めセキュリティの考え方や具体例・最新動向を解説|コラム|クラウドソリューション|サービス|法人のお客さま|NTT東日本>https://business.ntt-east.co.jp/content/cloudsolution/column-168.html]] 情報セキュリティでは、この「CIA」の状態を守るために情報をどう扱えばよいかを考えます。 サイバーセキュリティは、情報セキュリティの3要素である「CIA」の“脅威となる原因”に対処するという考え方です。 -- 関連:[[情報セキュリティ]] * [[サイバーセキュリティ]]経営ガイドライン [#g0df0075] ** [[2022]]年 [#q7d85ed0] - [[IPAが「サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第3版」を発行:ガイドラインを実践する際に参考になる事例を追加 - @IT>https://atmarkit.itmedia.co.jp/ait/articles/2204/01/news043.html]] (2022/4/1) 2017年11月に経済産業省とIPAが発行した「サイバーセキュリティ経営ガイドライン Ver 2.0」(以下、経営ガイドライン)の「重要10項目」の実践に必要な事例を集めたもの。重要10項目を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載している。 ** [[2020]]年 [#vd2f37d0] - [[サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集 第2版:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/fy30/reports/ciso/index.html]] (2020/06/09) 本プラクティス集は「情報セキュリティの取組みはある程度進めてきたが、サイバー攻撃対策やインシデント対応は強化が必要。それに向けた体制づくりや対策は何から始めるべきか」と考えている経営者やCISO等、セキュリティ担当者を主な読者と想定し、ガイドラインの「重要10項目」を実践する際に参考となる考え方やヒント、実施手順、実践事例を記載しています。 -- [[『サイバーセキュリティ経営ガイドライン』をどう活用するか 巧妙化する攻撃に立ち向かうための一手 (3/4):EnterpriseZine(エンタープライズジン)>https://enterprisezine.jp/article/detail/14930?p=3]] (2021/09/24) 1. 経営者向け:サイバーセキュリティ経営を促す仕組みの構築 2. 現場の実務者向け:具体的な対策の導入を促す事例集と可視化ツールの整備 3. 中小企業向け:サイバー保険等と連携した『サイバーセキュリティお助け隊』の創設 そして、1.の経営者向けの施策を推進するために策定されたものこそが、今回のテーマである『サイバーセキュリティ経営ガイドライン』なのです。 - [[サイバーセキュリティ経営可視化ツール:IPA 独立行政法人 情報処理推進機構>https://www.ipa.go.jp/security/economics/checktool/index.html]] (2021/08/17) 「サイバーセキュリティ経営可視化ツール」は、サイバーセキュリティの実践状況を企業自身がセルフチェックで可視化するための「サイバーセキュリティ経営ガイドラインVer2.0」(*1)ベースのWebサービスです ** [[2017]]年 [#x08ea5aa] - [[サイバーセキュリティ経営ガイドライン(METI/経済産業省)>http://www.meti.go.jp/policy/netsecurity/mng_guide.html]](2017/11/16公開) サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめています。 -- 関連:[[CISO]] * 経産省 [#v029e92d] ** [[2022]]年 [#t8c01a4a] - [[サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)とその展開(METI/経済産業省)>https://www.meti.go.jp/policy/netsecurity/wg1/wg1.html]] (2022/4/8) また、「IoTセキュリティ・セーフティ・フレームワーク」をより活用しやすいものにすることを目的として、ユースケース集を作成しました。 IoTセキュリティ・セーフティ・フレームワークVersion 1.0 実践に向けたユースケース集(PDF形式4,736KB)PDFファイル(2022年4月8日公開) ** [[2021]]年 [#m6eb238e] - [[サイバー・フィジカル・セキュリティ確保に向けた ソフトウェア管理手法等検討タスクフォースの検討の方向性>https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_bunyaodan/software/pdf/005_03_00.pdf]] (2021/10/29) ** [[2020]]年 [#t5390e9e] - [[IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定しました (METI/経済産業省)>https://www.meti.go.jp/press/2020/11/20201105003/20201105003.html]] (2020/11/05) IoT-SSFを活用することにより、フィジカル・サイバー間をつなぐ機器・システムに潜むリスクを踏まえて、機器・システムのカテゴライズを行い、カテゴリ毎に求められるセキュリティ・セーフティ要求の観点を把握し、カテゴリ間で比較することが可能となります。 ** [[2019]]年 [#c394c25d] - [[ビルシステムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン第1版を策定しました (METI/経済産業省)>https://www.meti.go.jp/press/2019/06/20190617005/20190617005.html]] (2019/06/17) ビルシステムに対するサイバーセキュリティ対策についてまとめたガイドラインであり、世界的に見ても先進的な取組です。 * 内閣サイバーセキュリティセンター ([[NISC]]) [#b6c6fab9] - [[政府機関総合対策グループ - NISC>https://www.nisc.go.jp/policy/group/general/kijun.html]] 統一基準群は、国の行政機関及び独立行政法人等の情報セキュリティ水準を向上させるための統一的な枠組みであり、国の行政機関及び独立行政法人等の情報セキュリティのベースラインや、より高い水準の情報セキュリティを確保するための対策事項を規定しています。統一基準群の運用により、国の行政機関及び独立行政法人等それぞれの組織のPDCAサイクルや政府機関等全体のPDCAサイクルを適切に回し、政府機関等全体としての情報セキュリティの確保を図ります。 - [[政府機関等のサイバーセキュリティ対策のための統一基準>https://www.nisc.go.jp/pdf/policy/general/kijyunr3.pdf]] (2021/7/7) 本統一基準は、全ての機関等において共通的に必要とされる情報セキュリティ対策で あり、政府機関等のサイバーセキュリティ対策のための統一規範(サイバーセキュリティ 戦略本部決定)に基づく機関等における統一的な枠組みの中で、統一規範の実施のため必 要な要件として、情報セキュリティ対策の項目ごとに機関等が遵守すべき事項(以下「遵守事項」という。)を規定することにより、機関等の情報セキュリティ水準の斉一的な引上げを図ることを目的とする - [[NISC | サイバーセキュリティ普及啓発・人材育成ポータルサイト構築>https://security-portal.nisc.go.jp/]] -- コメント:各種資料へのリンクがリスト化されている。一番包括的な情報と思われる。ただし、紹介されている資料は「発行年月日の記載が無い」「作成者の記載が無い」「誰が読むべきかターゲットの記載が無い」「資料を一意に識別するための文章番号が無い」「資料体系を整理した情報が無い」ものが多い。(2021/09/02) - [[外部委託等における情報セキュリティ上のサプライチェーン・リスク対応のための仕様書策定手引書>https://www.nisc.go.jp/pdf/council/cs/taisaku/ciso/dai02/02shiryou0303.pdf]] (2015/05/21) このような現状を踏まえ、「政府機関の情報セキュリティ対策のための統一基準(平成 26 年度版)」(以下、「政府機関統一基準」という)では、府省庁外の者に情報システム の構築やアプリケーションの開発等を外部委託する場合や機器等を調達する場合等にお いて、調達元となる府省庁の組織が実施すべき情報セキュリティ上のサプライチェー ン・リスクへの対応に係る遵守事項(1.4 節参照)を定めている。 * 総務省 [#z42def1c] ** ICT[[サイバーセキュリティ]]総合対策 [#ga3c232d] - [[総務省|報道資料|「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表>https://www.soumu.go.jp/menu_news/s-news/02cyber01_04000001_00192.html]] (2021/07/29) 総務省では、「ICTサイバーセキュリティ総合対策2021」を踏まえ、サイバーセキュリティを確保するための施策を積極的に推進していきます。 * 関連 [#p4532c78] #related - [[CSSC]] - [[CISO]] - [[情報セキュリティ]] - [[セキュリティ・バイ・デザイン]] - [[セキュリティ品質]] - [[ISMS]]
