19-2-7. 第7章. セキュリティフレームワーク

• 7-1. セキュリティフレームワークの概要
• 7-2. 情報セキュリティマネジメントシステム（ISMS）[ISO/IEC27001:2022, 27002:2022]
• 7-3. NIST サイバーセキュリティフレームワーク（CSF）
• 7-4. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）
• 7-5. サイバーセキュリティ経営ガイドライン

主なキーワード

セキュリティフレームワーク、ISMS

要旨

7-1. セキュリティフレームワークの概要

次のセキュリティフレームワークの概要、利用メリットについて説明しています。

• ISMS（情報セキュリティマネジメントシステム）[ISO/IEC27001, 27002]
• ISO/IEC27017
• CSF（サイバーセキュリティフレームワーク）
• CPSF（サイバー・フィジカル・セキュリティ対策フレームワーク）
• サイバーセキュリティ経営ガイドライン
• PCI DSS
• PMS（個人情報保護マネジメントシステム）
• CIS Controls
• ISA/IEC62443

7-2.情報セキュリティマネジメントシステム（ISMS）

ISMSとは、組織の情報セキュリティリスクを適切に管理するための仕組みのことです。 ISMSは、セキュリティフレームワークの中でも代表的なものです。ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性および可用性をバランスよく維持・改善し、リスクの適切な管理を実現し、信頼を利害関係者に与えることです。

7-3. NIST サイバーセキュリティフレームワーク（CSF）

サイバーセキュリティフレームワーク（CSF）は、NISTが作成したサイバー攻撃対策に重点をおいたフレームワークであり、防御にとどまらず、検知・対応・復旧といったインシデント対応が含まれています。多様な企業に適用できるように要求事項が汎用的になっています。CSFは、組織がセキュリティ対策を継続的に改善するため、 ①コア（サイバーセキュリティ対策の一覧）、②ティア（対策状況を数値化するための成熟度評価基準）、③プロファイル（サイバーセキュリティ対策の現状とあるべき姿を記述するためのフレームワーク）の3つの要素で構成されています。

7-4. サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）

サイバー・フィジカル・セキュリティ対策フレームワーク（CPSF）は、ISMSやCSFのフレームワークの内容を包含しつつ、サイバー空間とフィジカル空間双方のセキュリティ対策に対応したフレームワークです。

7-5. サイバーセキュリティ経営ガイドライン

サイバーセキュリティ経営ガイドラインは、経営者がサイバーセキュリティ対策を実行する際に認識するべき事項と、サイバーセキュリティ対策の責任者（CISOなど）に指示するべき事項を包括的にまとめています。経営者が主体となってサイバーセキュリティ対策を実施する際に参考にできます。

訴求ポイント

認識していただきたい実施概要

• 効果的なセキュリティ対策の実施や、取引先や顧客からの信頼を向上させるためには、フレームワークに沿って対策を進めることが有効であること。
• セキュリティ対策を行うためのフレームワークは複数存在するが、まずは業種業態を問わずセキュリティ対策の全体の枠組みと、網羅的な対策項目を提示しているISMSをベースとし、必要に応じて業種業態や重点領域ごとに特に注力すべき内容が詳細化されている各種フレームワークで補完することが有効であること。