東京都産業労働局 令和4年度中小企業サイバー
セキュリティ対策継続支援事業

文字サイズ
中小企業向けサイバーセキュリティ対策の極意

情報セキュリティに関する
各種フレームワーク

デジタル分野の発展に伴い、セキュリティの必要性が日に日に増してきています。考え方を標準化したフレームワークにもいろいろな種類があり、特徴があります。

 
名称 特徴 概要
ISMS 情報セキュリティ対策が中心 ISO/IEC 27001(JIS Q 27001)の国際規格。要求事項に則り、情報資産の保護が対象となる。
CSF サイバー攻撃対策が中心 サイバー攻撃等を受けた時の検知、対応、復旧といった事後対応についても多くの対応策が盛り込まれている。
PMS 個人情報の取り扱いが中心 JISQ15001に準じた国内規格。企業が保有している個人情報を確実に保護するように要求。
PCI
DSS
クレジットカード情報が中心 クレジットカード情報の保護。
CIS Contro
ls
技術的な対応状況確認が中心 技術的な対抗に重点を置いたガイドライン。
CPSF 情報セキュリティ対策
サイバー攻撃対策が中心
経済産業省が公表。ISMS、CSFを包含し、サイバー空間とフィジカル空間におけるつながりの信頼性を確保。
フレームワークの関係図

ISMSは、『個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、計画を定め、資源を配分して、システムを運用すること』としています。ISO/IEC 27001(JIS Q 27001)で要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されています。政府機関から提示されている各種ガイドブック、ハンドブック、テキスト類は、ISMSの仕組みがベースとなっています。ISMSは現在、サイバーセキュリティ脅威や新しいセキュリティ技術の進化に合せて、改訂作業が進められています。
ISMSは事前の対策に強みがあり、サイバー攻撃等を受けたときの管理策が薄くなりがちという特徴があります。それを補う考えとして、サイバーセキュリティフレームワーク(CSF)という考えが浸透してきています。「サイバーセキュリティ経営ガイドライン Ver 2.0 」では、「付録A サイバーセキュリティ経営チェックシート」でCSFとの対応関係も提示されました。ただし、CSFは、「どのように利用するかは、それを実施する組織に委ねる。」とされている汎用的なフレームワークとして、指示書やノウハウ集ではありません。
経済産業省では、ISMS、CSFを包含した「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)を提唱しています。サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するためのフレームワークとして期待されています。