中小企業向けサイバーセキュリティの実践ハンドブック

『中小企業向けサイバーセキュリティの実践ハンドブック』
～中小企業も安心！セキュリティ対策でDXを加速～

2023年度版 (2024/04/15版)

本ハンドブックは、組織内におけるシステム管理者等（システム管理などの実務に責任を持つ方々）に向けて作成された小冊子です。社会の動向、特にDXを理解し、IT化を進める際に必要なセキュリティ対策の全容を体系的に把握したうえで、自組織の状況に応じて必要な対策を選択して実践するための参考書（レファレンスブック）として活用されることを想定しています。さらに、システム管理者が経営者に対して、セキュリティ対策の必要性と具体的に実施すべき事項を解説（ガイダンス）する際に参考として活用していただければと思います。

中小企業向けサイバーセキュリティの実践ハンドブック

PDF版: ダウンロード［9.6MB］

PowerPoint版: ダウンロード［8.2MB］

EPUB版: ダウンロード［24MB］

WEB版

第1編: サイバーセキュリティを取り巻く環境および中小企業に求められるサイバーセキュリティ対策

はじめに

第1章. デジタル時代の社会とIT情勢

1-1. デジタル時代の社会変革とIT情勢の関係性
- 1-1-1. 社会の現状と今後の動向

第2章. 事例を知る：重大なインシデント発生から課題解決まで

第3章. サイバーセキュリティの基礎知識

3-1. 導入済と想定するセキュリティ対策機能
- 3-1-1. UTM、EDRの概要
3-2. 各種資格試験から得るサイバーセキュリティの基礎知識
- 3-2-1. 情報処理技術者向け国家試験体系
3-3. Security Action（セキュリティ対策自己宣言）
3-4.サイバーセキュリティアプローチ方法
- 3-4-1. サイバーセキュリティアプローチ方法の概要

- コラム　“情報セキュリティ”と“サイバーセキュリティ”の違いについて

第2編: これからの企業経営で必要な攻めと守りのIT活用およびサイバーセキュリティ対策

第4章. 企業経営で重要となるIT投資と投資としてのサイバーセキュリティ対策

4-1. これからの企業経営で必要な観点：社会の動向
- 4-1-1. 現実社会とサイバー空間の繋がり
- 4-1-2. IT活用における課題
4-2. 守りのIT投資と攻めのIT投資
4-3. 経営投資としてのサイバーセキュリティ対策
- 4-3-1. サイバーセキュリティ対策の重要性
- 4-3-2. 経営者が重要視すべき３つのポイント

第3編: サイバーセキュリティに関する国の方針・施策およびサイバー脅威の動向

第5章. デジタル社会の方向性と実現に向けた国の方針

5-1. 国の基本方針および実施計画の要約
- 5-1-1. 経済財政運営と改革の基本方針2023
5-2. 政府機関が目指す社会の方向性とサイバーセキュリティ課題

第6章. サイバーセキュリティ戦略および関連法令

6-1. NISC：サイバーセキュリティ戦略
6-2. 関連法令
- 6-2-1. 個人情報保護法
- 6-2-2. GDPR

- コラム　“デジタルトランスフォーメーション”と“デジタル化”の関係について

第4編: サイバーセキュリティ対策におけるフレームワークの体系

第7章. セキュリティフレームワーク

7-1. セキュリティフレームワークの概要
- 7-1-1. セキュリティフレームワークの役割と重要性
- 7-1-2. フレームワーク選択の重要性
7-2.情報セキュリティマネジメントシステム（ISMS）[ISO/IEC27001:2022, 27002:2022]
7-3. NIST サイバーセキュリティフレームワーク（CSF）
7-4. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）
- 7-4-1. CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）の概要
7-5. サイバーセキュリティ経営ガイドライン

- コラム　ISMS[ISO/IEC 27001]認証の取得にあたって

第5編: 組織として策定すべき対策基準及び情報セキュリティの三大要素【対策基準レベル①】

第8章. セキュリティ対策基準の策定

8-1. 対策基準の策定
- 8-1-1. セキュリティ対策基準の概要
- 8-1-2. 対策基準策定のアプローチ方法

第9章. 管理策のテーマと属性

9-1. 管理策の分類と構成
- 9-1-1. 管理策：ISO/IEC 27002
- 9-1-2. 管理策のテーマと属性

第10章. 脅威、脆弱性、リスクの定義と関係性

10-1. 用語の定義および関係性と識別方法

- コラム　情報セキュリティのCIA＋4要素

第6編: セキュリティリスク評価及び対策基準に記載されるべき管理策【対策基準レベル②】

第11章. リスクマネジメント

第7編: 組織として実施すべき具体的な対策事項・手順【実施手順・実施者マニュアルレベル①】

第12章. 具体的手順の作成（LV.1 クイックアプローチ/LV.2 ベースラインアプローチ）

12-1. 【LV.1 クイックアプローチ】【LV.2 ベースラインアプローチ】の概要
- 12-1-1. クイックアプローチ・ベースラインアプローチ
12-2. 【LV.1 クイックアプローチ】セキュリティインシデント事例を参考とした実施手順
- 12-2-1. セキュリティインシデント事例を参考とした実施手順
12-3. 【LV.2 ベースラインアプローチ】ガイドラインを参考とした実施手順
- 12-3-1. 情報セキュリティ対策ガイドラインの活用

第13章. ISMSの要求事項と構築（LV.3 網羅的アプローチ）

13-1. 【LV.3 網羅的アプローチ】の概要
- 13-1-1. LV.3 網羅的アプローチ
13-2. 【LV.3 網羅的アプローチ】フレームワークを参考とした実施手順

- コラム　ISMSの導入：成功の鍵とよくある落とし穴

第8編: 組織的対策と人的対策【実施手順・実施者マニュアルレベル②】

第14章. 組織的管理策

14-1. 組織的管理策を参考とした対策基準・実施手順の策定
- 14-1-1. 対策基準の策定
- 14-1-2. 実施手順の策定

第15章. 人的管理策

15-1. 人的管理策を参考とした対策基準・実施手順の策定
- 15-1-1. 対策基準の策定
- 15-1-2. 実施手順の策定

第9編: 技術的対策と物理的対策およびセキュリティ対策状況の有効性評価【実施手順・実施者マニュアルレベル③】

第16章. 物理的管理策

16-1. 物理的管理策を参考とした対策基準・実施手順の策定
- 16-1-1. 対策基準の策定
- 16-1-2. 実施手順の策定
16-2. 各種テーマごとの対策
- 16-2-1. BYOD（Bring Your Own Device）
- 16-2-2. MDM（Mobile Device Management）

第17章. 技術的管理策

17-1. 技術的管理策を参考とした対策基準・実施手順の策定
- 17-1-1. 対策基準の策定
- 17-1-2. 実施手順の策定
17-2. 各種テーマごとの対策

第18章. セキュリティ対策状況の有効性評価

18-1. 内部監査・外部監査
- 18-1-1. 内部監査
- 18-1-2. 外部監査

- コラム　実施手順の文書化に関するポイント

第10編: 全体総括

第19章. 総括編

別添資料:

セミナースライド※セミナー時に使用したスライドです。各編のサマリーとして活用してください。

PDF版: ダウンロード［13.1MB］

PowerPoint版: ダウンロード［20MB］

備考

●更新履歴

2024年4月15日　『中小企業向けサイバーセキュリティの実践ハンドブック』ページを公開

●刊行物の利用について

この刊行物は、東京都が著作権を保有しておりますが、利用に際しては、非営利目的、サイバーセキュリティ対策の普及・啓発目的であれば、事前の申請等は必要ありません。

全体を利用されるのであればそのままご利用いただけます。また、一部分の「引用・参考・参照・転載」であれば、出典元を明記して頂ければご利用いただけます。

●刊行物のライセンス

このガイドブックは、利用の条件として、クリエイティブコモンズライセンス「表示-非営利-継承4.0国際（CC BY-NC-SA 4.0）」を適用しています。

※「表示-非営利-継承4.0国際（CC BY-NC-SA 4.0）」とは、

他のページへのリンク

⇒ 『中小企業向けサイバーセキュリティ対策の極意』ポータルサイト