ITパスポート技術要素

59 情報セキュリティ組織・機関・基準

ITパスポート
05.13

 

情報セキュリティ委員会

組織の情報セキュリティに関する方針や対策を検討・監督するための委員会。

経営層、情報部門、法務などから構成される。

ポリシー策定、インシデント対応、教育方針の決定などを行う。

例:社内の情報漏えい対策を定期的に協議する会議体。

 

CSIRT(Computer Security Incident Response Team)

情報セキュリティインシデントに対応する専門チーム。

検知、分析、対応、再発防止などを迅速に実施する。

企業、組織、業界単位で設置されることが多い。

例:不正アクセスが発生した際に緊急対応を行う社内CSIRT。

 

SOC(Security Operation Center)

24時間体制でネットワークやシステムのセキュリティ監視を行う拠点。

不審な挙動や攻撃を検知し、インシデント対応を支援する。

外部委託型のSOCサービスも普及している。

例:クラウドサービスの利用状況をリアルタイムで監視するSOC。

 

コンピュータ不正アクセス届出制度

不正アクセスを受けた企業や個人が、警察庁に被害を届け出る制度。

「不正アクセス禁止法」に基づき運用されている。

被害の拡大防止や再発防止のために役立つ。

例:IDとパスワードの不正使用によるアクセスが発覚した場合に届け出る。

 

コンピュータウイルス届出制度

ウイルスに感染した場合や、ウイルスを発見した場合にIPAに届け出る制度。

感染状況や被害状況を共有し、注意喚起や対策に活用される。

IPA(情報処理推進機構)が窓口となっている。

例:新種のウイルスに感染したと判断された際にIPAへ報告。

 

ソフトウェア等の脆弱性関連情報に関する届出制度

ソフトウェアやWebサイトで発見された脆弱性をIPAへ報告する制度。

JVN(Japan Vulnerability Notes)で情報が公開され、対策が促される。

開発者と調整して公表される仕組み。

例:あるアプリにセキュリティホールを見つけて、IPAに報告。

 

ISMAP(政府情報システムのためのセキュリティ評価制度)

クラウドサービスを政府機関が利用する際のセキュリティ評価制度。

第三者機関が評価し、基準を満たしたサービスはISMAPリストに掲載される。

政府調達の信頼性向上が目的。

例:ISMAP認定を受けたクラウドサービスを行政機関が導入。

 

J-CSIP(サイバー情報共有イニシアティブ)

政府と民間企業がサイバー攻撃に関する情報を共有し、迅速な対応を図る取り組み。

IPAが中心となり、情報の収集・分析・提供を行う。

標的型攻撃などの早期発見に役立つ。

例:参加企業が攻撃事例をIPAに提供し、他社へ注意喚起が行われる。

 

サイバーレスキュー隊(J-CRAT)

標的型攻撃の被害企業に対して、支援を行う専門チーム。

マルウェア解析や復旧支援、再発防止策の提案などを行う。

IPAが運営している。

例:感染が広がった中小企業に対して、J-CRATが現地で調査と指導を行う。

 

SECURITY ACTION

中小企業が自ら情報セキュリティ対策に取り組むことを示す自己宣言制度。

「一つ星」「二つ星」の2段階がある。

ロゴマークをWebサイトなどに掲示できる。

例:自社の取り組みを外部にアピールするために「SECURITY ACTION 二つ星」を取得。

 

サイバーセキュリティ経営ガイドライン

経済産業省とIPAが策定した、経営層向けの情報セキュリティ実践指針。

経営者がリスクを理解し、組織全体で対策を進めることを促す。

サイバー攻撃が企業経営に与える影響を重視。

例:ガイドラインをもとに、取締役会で情報セキュリティ対策の重要性を議論。

 

中小企業の情報セキュリティ対策ガイドライン

中小企業でも実行可能なセキュリティ対策を段階的に紹介した資料。

「まずはここから」と「一歩進んだ対策」で構成されている。

低コストで取り組める実践的な内容が特徴。

例:パスワードの設定やウイルス対策ソフトの導入から始める。

 

情報セキュリティ管理基準

ISMS構築において参考とされる管理項目の基準。

組織的、人的、物理的、技術的な対策を網羅的に記述。

経済産業省が公表している。

例:人事異動時のアカウント削除や物理的な入退室管理の整備。

 

サイバー・フィジカル・セキュリティ対策フレームワーク

サイバー空間と現実世界(フィジカル空間)が連携するシステムのためのセキュリティ指針。

社会インフラや工場などを対象とする。

システム全体の脆弱性に着目し、段階的な対策を提案。

例:スマート工場の制御機器を含めたセキュリティ評価。

 

IoTセキュリティガイドライン

IoT機器の開発・運用・利用におけるセキュリティ確保のための指針。

設計段階からのセキュリティ対策が重要とされる。

ネットワーク経由での遠隔制御やデータ収集に対応。

例:家庭用IoT機器に初期パスワード変更を義務づける設計。

 

PCI DSS(Payment Card Industry Data Security Standard)

クレジットカード情報を安全に取り扱うための国際的なセキュリティ基準。

加盟店や決済代行業者などが対象となる。

カード情報の保存・処理・送信に関する詳細な要件が定められている。

例:カード決済サービスを提供する企業がPCI DSS準拠のシステムを導入する。

タイトルとURLをコピーしました