セキュリティに関する基準・制度
セキュリティに関する基準・制度とは
Section titled “セキュリティに関する基準・制度とは”情報セキュリティ対策を進めるうえで、「何を、どの程度やればよいのか」を示す指針が必要です。日本の政府機関や業界団体は、企業や組織がセキュリティ対策に取り組むためのガイドライン(指針)や基準を数多く策定しています。また、国際的な業界基準も存在します。
これらのガイドラインや基準は、それぞれ対象とする読者や目的が異なります。ITパスポート試験では、「どのガイドラインが、誰に向けて、何のために作られたものか」を正しく理解しているかが問われます。
主なガイドライン・基準の一覧
Section titled “主なガイドライン・基準の一覧”まず、試験に出題される主なガイドライン・基準を表で整理します。
| 名称 | 策定者 | 主な対象 | 目的 |
|---|---|---|---|
| サイバーセキュリティ経営ガイドライン | 経済産業省・IPA | 企業の経営者 | 経営者がリーダーシップをとってセキュリティ対策を推進するための指針 |
| 中小企業の情報セキュリティ対策ガイドライン | IPA | 中小企業の経営者・担当者 | 中小企業が段階的にセキュリティ対策を進めるための手引き |
| 情報セキュリティ管理基準 | 経済産業省 | 組織全般 | 情報セキュリティのマネジメント(管理)と対策の実施状況を評価するための基準 |
| サイバー・フィジカル・セキュリティ対策フレームワーク | 経済産業省 | 産業界全般 | サイバー空間と現実空間(フィジカル空間)をまたぐセキュリティ対策の枠組み |
| IoTセキュリティガイドライン | 総務省・経済産業省 | IoT機器の開発者・利用者 | IoT特有のリスクに対するセキュリティ対策の指針 |
| PCI DSS | PCI SSC(国際的な業界団体) | クレジットカード情報を扱う事業者 | カード情報の安全な取り扱いを定めた国際基準 |
試験で出るポイント
サイバーセキュリティ経営ガイドライン
Section titled “サイバーセキュリティ経営ガイドライン”サイバーセキュリティ経営ガイドラインは、経済産業省とIPA(情報処理推進機構)が策定した、企業の経営者に向けたガイドラインです。
セキュリティ対策は、IT部門だけの問題ではなく、経営者自身がリーダーシップをとって取り組むべき経営課題であるという考え方がベースになっています。サイバー攻撃による被害は、企業の信用失墜や多額の損害賠償につながりかねないため、経営者が率先して対策を主導する必要があるのです。
このガイドラインでは、経営者が認識すべき「3原則」と、情報セキュリティ対策を実施するうえで経営者がセキュリティ担当の責任者(CISOなど)に指示すべき「重要10項目」が示されています。
たとえば3原則には、「経営者がリーダーシップをとること」「自社だけでなくサプライチェーン全体を考慮すること」「関係者との適切なコミュニケーションをとること」が含まれています。
中小企業の情報セキュリティ対策ガイドライン
Section titled “中小企業の情報セキュリティ対策ガイドライン”中小企業の情報セキュリティ対策ガイドラインは、IPA(情報処理推進機構)が策定した、中小企業向けのガイドラインです。
大企業に比べて人員や予算に限りがある中小企業でも、段階的にセキュリティ対策を進められるよう、具体的かつ実践的な手順が示されています。「まず何から始めればよいのか」がわかるように、対策の優先順位が明確にされている点が特徴です。
サイバーセキュリティ経営ガイドラインが経営者の意識改革に重点を置いているのに対し、こちらは具体的な対策手順を中小企業が実行しやすい形でまとめたものといえます。
試験で出るポイント
情報セキュリティ管理基準
Section titled “情報セキュリティ管理基準”情報セキュリティ管理基準は、経済産業省が策定した、組織の情報セキュリティ管理体制や対策の実施状況を評価・確認するための基準です。
この基準は、国際規格であるISO/IEC 27001やISO/IEC 27002の内容をもとに作られています。組織が自らのセキュリティ対策を自己点検したり、外部からの監査を受ける際に「何を確認すべきか」の物差しとして使われます。
具体的には、情報セキュリティに関する方針の策定、リスクの管理、アクセス制御、インシデント対応など、幅広い管理項目が体系的に整理されています。
サイバー・フィジカル・セキュリティ対策フレームワーク
Section titled “サイバー・フィジカル・セキュリティ対策フレームワーク”サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)は、経済産業省が策定したセキュリティ対策の枠組みです。
IoTやAIの普及によって、サイバー空間(インターネットやコンピュータの世界)とフィジカル空間(工場や物流などの現実世界)が密接に結びつくようになりました。たとえば、工場の機械がインターネットに接続されて遠隔制御されるケースでは、サイバー攻撃が物理的な被害に直結する可能性があります。
このフレームワークは、サイバー空間とフィジカル空間の両方にまたがるリスクを包括的に管理するための考え方を提供しています。産業界全体を対象に、サプライチェーン(部品の調達から製品の出荷までの一連の流れ)を含めたセキュリティ対策の指針を示しています。
IoTセキュリティガイドライン
Section titled “IoTセキュリティガイドライン”IoTセキュリティガイドラインは、総務省と経済産業省が共同で策定した、IoT(Internet of Things)に関するセキュリティ対策の指針です。
IoT機器には、パソコンやスマートフォンとは異なる特有のセキュリティリスクがあります。たとえば、次のような点が挙げられます。
- 長期間使用される:家電や産業機器は何年も使われるため、ソフトウェアの更新が難しい
- 処理能力が限られる:小型のセンサーなどは計算能力が低く、高度なセキュリティ機能を搭載しにくい
- 大量に設置される:数千・数万台の機器を個別に管理するのが困難
このガイドラインでは、IoT機器の設計・開発段階からセキュリティを考慮することの重要性や、利用者が行うべき対策(初期パスワードの変更、ファームウェアの更新など)がまとめられています。
PCI DSS
Section titled “PCI DSS”PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準です。
クレジットカード業界の国際的な団体であるPCI SSC(Payment Card Industry Security Standards Council)が策定しており、VISA、Mastercard、JCBなどの国際カードブランドが共同で設立した組織です。
PCI DSSは、クレジットカード番号などのカード会員データを「保存・処理・伝送」するすべての事業者に適用されます。ネットショップや決済代行会社はもちろん、カード情報を扱うあらゆる企業が対象です。
PCI DSSでは、ファイアウォールの設置、カード情報の暗号化、アクセス制御、定期的なセキュリティテストなど、具体的な要件が定められています。この基準を満たさない場合、カード会社との取引ができなくなる可能性もあります。
試験で出るポイント
セキュリティに関する基準やガイドラインは数多くありますが、試験対策としては「誰が策定し、誰を対象に、何のために作ったのか」を整理して覚えることが大切です。名称だけを暗記するのではなく、それぞれの背景や目的を理解しておくと、出題の選択肢を正しく判断できるようになります。