情報 セキュリティ の関連サイトを総まとめ!(最終更新:3月16日)
仕事の関係上、 情報 セキュリティ 関連の規程類を作成する機会が多々あるのですが、その際に参考にしている関連省庁等のサイト一覧をご紹介したいと思います。私自身の備忘的な要素もありますが、お読みになった皆さまのご参考になれば幸いです。
まだまだ情報としては少ないですが、少しずつ増やしていきたいと思っております。
IPA
おそらく既にご存じの方も多いであろうIPAからご紹介です。こちら、さすがに情報は非常に多いです。しかし、散在している感があり見づらく、数年間にわたって更新されていない資料もざらにあります。
そこで、数多くある情報の中でも、特に有益と思われるページを3つご紹介したいと思います。
情報 セキュリティ の概観を把握する。 ~ 情報セキュリティポータル ~
「全体像を把握したい」、「どのページから見ていけば良いかわからない」という方にお勧めです。ポータルというだけあって、「被害に遭ったら」「対策する」「教育・学習」「セキュリティチェック」「データ&レポート」といった目的毎にIPAの関連サイトがまとめられており、非常にとっつきやすいです。
https://www.ipa.go.jp/security/kokokara/index.html
クラウドサービスの活用を推進する手助けに。 ~ 政府のお墨つき ISMAP ~
まず、「ISMAPとは何か?」という点をざっくりご説明すると、政府が政府関連システムに使ってもいいよ!というお墨付きをクラウドサービスに与える制度となります。
「うちは民間企業だから関係ない」と思われる方が多いかもしれません。しかし、自社でクラウドサービスを導入する際の「クラウドで本当に大丈夫?」「セキュリティとか心配ないの?」といった漠然とした不安感を少しでも緩和し、クラウド移行をスムーズに推進するうえで非常に重要な説得材料の一つとして利用価値があります。何といっても、政府の高いセキュリティ要求基準を満たしていることを第三者の監査機関が表明している点は非常に重みがあります。
https://www.ipa.go.jp/security/ismap/index.html同制度に登録しているクラウドサービスはまだ少ないですが、これから拡充されていくことに期待です。
https://www.ipa.go.jp/security/ismap/cslist.htmlネタ探しの宝庫! 但し、あくまでご参考に。 ~ 泣く子も黙る?NIST文書 ~
言わずと知れたNIST文書の翻訳版を掲載してくれています。何らかセキュリティ戦略や対策をたてるうえでのネタ探しに非常に参考になります。
NISTを掲げて高尚なことを言ってくる(現場を知らない)コンサルがたまにいますが、それを真に受けて「文書に書かれていることをすべてその通りにやる必要があるのか!?(汗)」と考える必要はありません。あくまで、同文書を参考にして自社向けに(良い意味で)アレンジするのが実効性もありベストな使い方です。
https://www.ipa.go.jp/security/publications/nist/個人情報保護委員会
同委員会が公開している各種資料は、個人情報を取り扱う業務をおこなううえでは必須といえます。本記事では、特に目を通しておきたいポイントと注意点をご紹介します。
”組織としての” 情報 セキュリティ を考えるうえで必読! ~ 通則編のガイドライン ~
「個人情報の保護に関する法律についてのガイドライン」は必読といえます。全てに目を通すような時間はない、情報部門として最低限の事項だけ把握したい、といった方は、同ガイドラインの「8(別添)講ずべき安全管理措置の内容」だけでも目を通されることをお勧めします。
「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」といった、組織として取り組むべき管理措置が、その具体例も交えて俯瞰的に説明されており非常に有益です。
https://www.ppc.go.jp/personalinfo/legal/
特定業種(金融・医療)にお勤めの方は要注意! ~ 特定分野ガイドライン ~
金融業界、医療業界にお勤めの方は要注意です。その業界の特性上、ガイドライン(通則編)の規定事項だけでは不十分ということで、より厳しいガイドラインと業務指針が示されています。
ちなみに、仮にこれらの特定業種にお勤めではなかったとしても、内容としては通則編をより具体的に細かく規定している点で非常に参考になる内容となっております。ご興味があれば、是非、一度は目を通されても良いかと思います。
https://www.ppc.go.jp/personalinfo/legal/guidelines/
総務省
レベル感次第では意外と参考になる!? ~ 国民のための情報セキュリティ ~
セキュリティというわけではなく、IT全般的に明るくない方に向けた情報公開をしており、作ろうとする文書次第では、言葉の使い方が意外と参考になる時があります。
記載されている内容のレベル感や具体感としては決して高くはないですが、時には参考になることがある!といった類のサイトです。あとは、トップページの下部から、サイト全体のコンテンツをPDFで一括ダウンロードできるようになっています。あれこれページ移動しなくていいので、全体的に目を通した際に便利です(とても気が利いてます)。
https://www.soumu.go.jp/main_sosiki/joho_tsusin/security/
経済産業省
いわゆる規程類を作成するときの最強の味方! ~ CSPF ~
経済産業省が策定したいわゆるセキュリティフレームワーク「CSPF」に関する非常に分量の多い資料となっています。全文を読むのはつらいと思いますので、特に実務で使えそうな箇所を掻い摘んでご紹介します。
まず、アセスメント項目の作成や、セキュリティ対策上の具体的なプロセス例等が知りたいという方には「添付B」が参考になります。一方、コンサルの方などで、CSPF・NIST・ISO27001といった代表的なガイドランの関係性を精査したい方には「添付C」がそのまま利用できると思います。なお、業種によっては、添付Aのユースケースも参考になるかもしれません。
https://www.meti.go.jp/policy/netsecurity/wg1/cpsf.html