top of page

主なセキュリティガイドライン

以下では、アメリカ国立標準技術研究所 (NIST: National Institute of Standards and Technology) が公表している代表的なセキュリティガイドライン・フレームワークを中心に、「主流」とされるドキュメントを一覧で紹介します。いずれも米国連邦政府機関や民間企業が情報セキュリティを強化する際の基準として広く参照されているものです。必要に応じてISOやその他国際的なフレームワーク(ISO 27001 や COBIT, ITIL 等)との併用も検討されることが多いです。

アーカイブ

1. NIST Cybersecurity Framework (CSF)

  • 正式名称: Framework for Improving Critical Infrastructure Cybersecurity

  • 概要:

    • 2014年に初版が公表され、2023年には CSF 2.0 ドラフトが公開されるなど継続的にアップデートされている。

    • Identify, Protect, Detect, Respond, Recover の 5 つの機能 (Functions) を軸に、組織がサイバーセキュリティ対策を体系的に整備するためのフレームワーク。

    • 特に 米国の重要インフラ事業者(電力、金融、通信など)向けに策定されたが、民間企業・海外企業でも広く採用。

2. NIST SP (Special Publication) シリーズ

2-1. NIST SP 800-53

  • 正式名称: Security and Privacy Controls for Information Systems and Organizations

  • 概要:

    • 連邦政府機関が情報システムのセキュリティとプライバシーを確保する際に必要となるコントロール(管理策)を詳細に提示。

    • 技術的制御 (System and Communications Protection, Access Control 等)、物理的制御、人的制御、運用的制御など多岐にわたる。

    • 組織のリスクアセスメント結果に基づいて、必要なコントロールを適用する仕組みが推奨される。

2-2. NIST SP 800-37

  • 正式名称: Risk Management Framework for Information Systems and Organizations

  • 概要:

    • リスクマネジメントフレームワーク (RMF) の具体的実装ガイド。

    • システム開発ライフサイクル (SDLC) と連携して、セキュリティリスクを特定→選択→実装→評価→承認→監視 のプロセスを継続的に回すモデルを提示。

    • 連邦政府機関だけでなく、多くの企業でも内部リスク管理の指針として参照されている。

2-3. NIST SP 800-171

  • 正式名称: Protecting Controlled Unclassified Information (CUI) in Nonfederal Systems and Organizations

  • 概要:

    • 米国政府との契約で取り扱う CUI (Controlled Unclassified Information) を保護するための要求事項を提示。

    • 下請企業やサプライチェーンの中で CUI を取り扱う場合、800-171 に準拠することが求められるケースが多い (特に DoD, FAR, DFARS 関連)。

    • アクセス制御や暗号化、監査ログなどの具体的要件が明確に定義されている。

2-4. NIST SP 800-63

  • 正式名称: Digital Identity Guidelines

  • 概要:

    • デジタルID(オンライン認証)に関するガイドライン。アイデンティティ・プルーフィング、MFA(多要素認証)、セッション管理等の要件を定義。

    • 米国政府の eGov サービスに適用されるが、一般企業の Web サービスでも リスクベース認証や ID フェデレーションを設計する際の参考になる。

2-5. NIST SP 800-82

  • 正式名称: Guide to Industrial Control Systems (ICS) Security

  • 概要:

    • 産業制御システム (SCADA, DCS, PLC 等) に関するセキュリティガイド。電力・石油化学・製造業などで利用される制御系ネットワーク保護にフォーカス。

    • ICS 環境特有の可用性要求とセキュリティ要求の両立方法などを解説。

2-6. その他の代表的な NIST SP

  • NIST SP 800-52: TLS (Transport Layer Security) 実装ガイド

  • NIST SP 800-53A: 800-53 コントロールのアセスメント手法

  • NIST SP 800-161: サプライチェーンリスク管理 (Supply Chain Risk Management)

  • NIST SP 800-122: 個人識別情報 (PII) の保護に関するガイドライン

  • NIST SP 800-144/145/146: クラウドコンピューティングのセキュリティや定義に関するドキュメント

3. その他関連する NIST ドキュメント・プログラム

3-1. NICE Framework

  • National Initiative for Cybersecurity Education (NICE)

  • サイバーセキュリティ人材育成に関するフレームワーク。役割・職務、必要スキルや知識を整理。各組織で人材要件を定義する際のリファレンスとして利用される。

3-2. FIPS (Federal Information Processing Standards)

  • FIPS 140-2/3: 暗号モジュールのセキュリティ要件を定義。

    • HSM や暗号ライブラリが FIPS 140-2 準拠かどうかは、NIST SP 800 シリーズにも関連する非常に重要な基準。

  • FIPS 199: 情報システムの機密性・完全性・可用性の区分(影響度区分)を定義。

  • FIPS 200: 最低限のセキュリティ要件を提示し、NIST SP 800-53 に紐付け。

4. NIST と連動するその他の主流ガイドライン・規格

  1. FedRAMP (Federal Risk and Authorization Management Program)

    • 米国連邦政府向けにクラウドサービスを認定するプログラム。NIST SP 800-53 をベースに、セキュリティレベルを Low / Moderate / High に分けて承認。

    • Azure や AWS、GCP などが FedRAMP High 認定を取得しており、米政府機関にサービスを提供できる。

  2. CSF (NIST) と ISO 27001 のマッピング

    • NIST CSF と ISO/IEC 27001 は多くの管理策が重なっており、相互マッピング資料が公式/非公式に多数存在。

    • グローバル企業では、NIST CSF + ISO 27001 を併用するケースも多い。

  3. PCI DSS (Payment Card Industry Data Security Standard)

    • カード決済業界の民間標準だが、NIST SP 800-53 や 800-171 のコントロールとも共通点が多い。

    • クラウド上でクレジットカード情報を扱う場合、NIST と PCI DSS の両方を参照して安全基盤を構築。

  4. COBIT / ITIL /その他

    • ガバナンス(COBIT)やサービスマネジメント(ITIL)と NIST RMF, NIST CSF を組み合わせ、組織横断的に運用する事例もある。

5. まとめと活用のポイント

  1. 幅広い適用範囲

    • NIST のガイドラインは本来、米国連邦政府機関を対象としているものが多いが、その網羅性や具体性から世界中の企業・組織がリファレンスとして採用。

    • 特に NIST SP 800-53 や NIST CSF はセキュリティコントロールや運用プロセスを体系的に整理するのに有用。

  2. リスクベースアプローチ

    • NIST では組織の リスクアセスメント を踏まえて必要なコントロールを選択・実装し、継続的に評価・改善するフレームワークを重視。

    • ISO 27001, 27005 との考え方とも親和性が高く、他の国際規格とのマッピングが容易。

  3. 特定業界・分野への適用

    • 産業制御システム(ICS)、サプライチェーン、クラウドコンピューティング、暗号モジュールなど細分化された分野向けのガイドラインが存在。

    • 自社の業務領域や法規制の要件に合う NIST SP を選び、必要な部分を適宜参照する形で導入を進める。

  4. 組織規模や成熟度に合わせた段階的導入

    • いきなり 800-53 全コントロールを網羅するのは過剰な場合もあるため、NIST CSF のファンクション (Identify, Protect, Detect, Respond, Recover) など簡易フレームから着手。

    • その後、より詳細な NIST SP 800-53 コントロールやリスクマネジメント フレームワーク (800-37) へ段階的に拡張し、成熟度を高めていく。

​まとめ

NIST のセキュリティガイドラインは、米国政府機関のみならず、民間企業や海外組織にも多大な影響を与える事実上の国際標準となりつつあります。特に NIST Cybersecurity Framework (CSF) は政府主導で策定されたサイバーセキュリティフレームワークとして、金融、製造、通信、公共機関など多種多様な業界で導入が進んでいます。

また、NIST SP 800-53 をはじめとする各種 SP シリーズは、詳細なセキュリティコントロールを提供しており、ISO 27001 や PCI DSS、FedRAMP 等との相互参照も盛んに行われています。組織が情報資産を守り、法令・規制や顧客要求に適合するための具体的なガイダンスとして、これらを柔軟に取り入れることが重要です。

日本が出している主なセキュリティ基準・ガイドライン

日本国内では、IPA(情報処理推進機構)や総務省、経済産業省、金融庁などの政府機関がセキュリティに関するガイドラインを公表しています。これらは NIST や ISO/IEC 27001 などの国際基準と整合性を持ちつつ、日本の法令や特有の事情に適合する形で策定されています。

以下に、IPA や 各省庁 が公表している主要なセキュリティガイドラインを整理します。

1. IPA(情報処理推進機構)が提供するセキュリティガイドライン

1-1. サイバーセキュリティ経営ガイドライン

  • 発行機関: 経済産業省・IPA

  • 最新版: 2022年改訂版

  • 適用対象: 企業の経営者(特に非 IT 業界の企業)

  • 概要:

    • 経営層がサイバーセキュリティに取り組むための基本指針。

    • 企業が情報セキュリティ管理を強化する際に参考にするべき 「重要10項目」 を提示。

    • NIST CSF(Cybersecurity Framework)と整合性を持つ構成になっており、Identify, Protect, Detect, Respond, Recover の5段階を推奨。

    • 具体的な対策として、ゼロトラストの導入やサプライチェーンリスク管理が強調されている。

  • 参考URL:

    • サイバーセキュリティ経営ガイドライン(IPA)

1-2. 安全なクラウド利用のための手引き

  • 発行機関: IPA

  • 最新版: 2021年版

  • 適用対象: 企業や組織のクラウド導入担当者

  • 概要:

    • クラウドサービス(SaaS, PaaS, IaaS)利用時のセキュリティ要件とリスク管理のポイントを整理。

    • NIST SP 800-145(クラウドコンピューティングの定義)を参照しながら、日本の事業環境に適合するよう調整。

    • クラウド事業者を選定する際の評価基準(SLA、データ保護、ログ管理、可用性など)を詳細に解説。

  • 参考URL:

    • 安全なクラウド利用のための手引き(IPA)

1-3. 重要インフラのためのサイバーセキュリティ対策ガイドライン

  • 発行機関: IPA

  • 最新版: 2022年版

  • 適用対象: 重要インフラ事業者(電力、ガス、通信、金融、医療、交通など)

  • 概要:

    • 重要インフラ事業者向けに、サイバー攻撃への耐性を高めるための技術・運用指針を示す。

    • NIST SP 800-82(産業制御システムのセキュリティ)を参考に、OT(Operational Technology)環境の防御策を整理。

    • 経済産業省が主導する「サイバーセキュリティ基本法」とも連携し、政府主導のインシデント対応計画(CSIRT 体制)に準拠。

  • 参考URL:

    • 重要インフラのためのサイバーセキュリティ対策ガイドライン(IPA)

2. 経済産業省のセキュリティガイドライン

2-1. 改訂版 サイバーセキュリティ経営ガイドライン

  • 発行機関: 経済産業省

  • 最新版: 2022年改訂版

  • 概要:

    • 企業の経営者が、サイバーセキュリティを経営リスクとして認識し、適切なリスクマネジメントを行うための指針。

    • ゼロトラストアーキテクチャやクラウドネイティブセキュリティを推奨。

    • 事業継続計画(BCP)やインシデントレスポンスの整備についても具体的な施策を提示。

2-2. クラウドサービスのセキュリティ評価制度(ISMAP)

  • 発行機関: 経済産業省・総務省・IPA

  • 最新版: 2023年版

  • 概要:

    • 日本版 FedRAMPとも呼ばれる、公的機関向けクラウドサービスのセキュリティ評価制度。

    • クラウドサービスプロバイダ(CSP)が ISO 27017 / ISO 27018 / NIST 800-53 などの基準に準拠しているかを評価。

    • Microsoft Azure、AWS、Google Cloud などのクラウド事業者も ISMAP 認定を取得済み。

  • 参考URL:

    • ISMAP(政府情報システム向けクラウドサービスのセキュリティ評価制度)

3. 金融庁のセキュリティガイドライン

3-1. FISC 安全対策基準(金融情報システムセンター)

  • 発行機関: 金融庁・FISC

  • 最新版: 2022年改訂版

  • 適用対象: 日本国内の銀行、証券、保険、決済事業者

  • 概要:

    • 金融機関が IT システムを運用する際のセキュリティ要件を詳細に定義。

    • アクセス制御、データ暗号化、監査ログ管理などの具体的な対策が明記されており、クラウド利用時にも適用される。

    • AWS, Azure, GCP などの クラウド環境で FISC 適合性を確保するための推奨設定 も発表されている。

  • 参考URL:

    • FISC 安全対策基準

4. 総務省のセキュリティガイドライン

4-1. IoTセキュリティガイドライン

  • 発行機関: 総務省

  • 最新版: 2021年版

  • 適用対象: IoT機器・システムを提供・利用する事業者

  • 概要:

    • NIST SP 800-183(IoT セキュリティ)や欧州 ENISA の IoT 規制と整合性を持つ。

    • IoT機器のセキュリティ設計、アップデート管理、エンドポイント防御の要件を提示。

    • 「セキュリティ・バイ・デザイン」の原則を推奨し、製品開発段階から脆弱性を排除する方針を明示。

まとめ

日本国内では、IPA、経産省、総務省、金融庁 などが様々なセキュリティガイドラインを発表しており、国際標準(NIST, ISO, PCI DSS)と整合性を持つものが多い。特にクラウド利用に関する基準として ISMAP(日本版 FedRAMP) や FISC 安全対策基準 などが重要な役割を果たす。

また、金融・医療・製造業など業界ごとに個別の基準も存在するため、自社の業界要件と国際基準のどちらにも適合する形で設計を行うことが望ましい。

bottom of page