メインメニューを開く

情報セキュリティのガイドライン、標準規格、法制度等の一覧

国際標準編集

以下のものがある[1]

標準化団体 委員会 ワーキング

グループ

標準 内容
ISO TC 292(セキュリティ及びレジリエンス技術専門委員会) - ISO 22301 社会セキュリティ. -事業継続マネジメントシステム-要求事項
- ISO 22313 社会セキュリティ−事業継続マネジメントシステム−手引
- - ISO 31000 リスクマネジメント
IEC TC 65 - IEC 62443 制御システムのセキュリティ
ISO、IEEE共同策定 - - IEEE P1363 公開鍵暗号
ISO/IEC JTC 1 SC 27

情報セキュリティ

WG1

情報セキュリティマネジメントシステム

ISO/IEC 27000 ファミリー 情報セキュリティマネジメントシステム(ISMS)
WG2

暗号とセキュリティメカニズム

ISO/IEC 18033
WG3

セキュリティ評価基準

ISO/IEC 15408 コモンクライテリア
ISO/IEC 18045 CEM (Common Evaluation Methodology : 共通評価方法)
WG4

セキュリティコントロールとサービス

ISO/IEC 27030 ファミリー
WG5

アイデンティティ管理とプライバシー技術

ISO/IEC 24760ファミリー アイデンティティ管理
ISO/IEC 29100 プライバシーフレームワーク[2]
ISO/IEC 29134 プライバシー影響評価[2]
SC 37

バイオメトリクス

WG2 ISO/IEC 19784

ISO/IEC 19785

BioAPI生体認証API
- - ISO/IEC 11889 Trusted Platform Module

Trusted Computing Groupが公開仕様書を投稿

ISO27000ファミリー編集

以下のものがある

分類 番号 内容 参考文献
用語 ISO/IEC 27000 用語 [3]
全般 ISO/IEC 27001 要求事項
ガイドライン ISO/IEC 27002 ISMSのベストプラクティス
ISO/IEC 27003 ISMSの要求事項に対するガイダンス
ISO/IEC 27004 監視、測定、分析、評価の手引
ISO/IEC 27005 リスクマネジメントのガイドライン
ISO/IEC 27007 ISMS監査の実施のガイドライン
ISO/IEC TR 27008 組織の情報セキュリティの管理策のレビュー
要求事項 ISO/IEC 27006 ISMS認証機関への要求事項
ISO/IEC 27009 ISMSを各セクターに適用した規格の記述方法、様式等
セクター固有の

ガイドライン

ISO/IEC 27010 セクター間及び組織間コミュニケーションのための

情報セキュリティマネジメント

ISO/IEC 27011 電気通信組織のための指針
ISO/IEC 27015(廃止 金融サービスのための情報セキュリティマネジメント
ISO/IEC 27017 クラウドサービスの情報セキュリティ管理策の実践のための規範
ISO/IEC 27019 エネルギー業界向けプロセス制御システムの

情報セキュリティマネジメメントに関するガイダンス

サイバーセキュリティの

ガイドライン他

ISO/IEC 27101 サイバーセキュリティの枠組みを策定するためのガイドライン
ISO/IEC 27102 リスクマネジメントの中でサイバー保険をリスク低減の対策に

用いる場合のガイドライン

ISO/IEC 27103 サイバーセキュリティフレームワークで

既存のISO及びIEC規格を活用する方法の手引

その他 ISO/IEC 27013 ISO/IEC 20000-1とISO/IEC 27001

の統合実践に関するガイダンス

ISO/IEC 27014 情報セキュリティのガバナンス
ISO/IEC 27016 情報資産の保護に対して経済学的な視点を適用し、

モデル及び例示の使用を通して情報セキュリ ティに関する組織の経済性を適用する方法の手引

ISO/IEC 27021 ISMS専門家の力量に関する要求事項
個別分野 ISO/IEC 27030 IoT [4]
ISO/IEC 27031 ICTの事業継続への対応
ISO/IEC 27032 サイバーセキュリティ
ISO/IEC 27032 ネットワークセキュリティ
ISO/IEC 27034 アプリケーションセキュリティ
ISO/IEC 27035 インシデント管理
ISO/IEC 27036 供給者関係のセキュリティ
ISO/IEC 27037

27041/42/ 43

インシデント調査、デジタル証拠
ISO/IEC 27039 IDPS

(Intrusion Detection and Prevention Systems)

ISO/IEC 27040 ストレージセキュリティ
ISO/IEC 27050 e-ディスカバリ

米国の標準等編集

NIST文書編集

NIST(米国国立標準技術研究所)で情報技術に関する研究を行っているITL(Information Technology Laboratory)の中のCSD(Computer Security Division)という部門がコンピュータセキュリティに関して研究を行い、以下の文書を発行している[5]

略語の意味 内容
SP800シリーズ Special Publications コンピュータセキュリティ関係のレポートやガイドライン
FIPS Federal Information Processing Standards、連邦情報処理標準 米国商務長官の承認を受けてNISTが公布した情報セキュリティ関連の文書
ITL Security Bulletins - ITLの会報
NIST IRs NIST Interagency Reports NISTの各内部機関がまとめたレポート。CSD Annual Report(年次報告書)など

IPAのサイトに主だった文書のリストと邦訳があるので、ここでは主要なものに限定する:

名称
FIPS 199 連邦政府の情報および情報システムに対するセキュリティ分類規格
FIPS 200 連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項
FIPS 201-1 連邦職員および委託業者のアイデンティティの検証
SP 800-53 連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
Cybersecurity

Framework

重要インフラのサイバーセキュリティを向上させるためのフレームワーク

各国法編集

情報/サイバーセキュリティ全般編集

組織 名称 備考
アメリカ国立標準技術研究所(NIST) 重要インフラのサイバーセキュリティを向上させるためのフレームワーク セキュリティ関連NIST文書”. IPA. 2018年10月22日閲覧。
内閣サイバーセキュリティセンター(NISC) サイバーセキュリティ戦略 根拠法:サイバーセキュリティ基本法十二条2項
政府機関の情報セキュリティ対策のための統一基準 「政府機関等の情報セキュリティ対策のための統一基準群(平成28年度版)」について”. 2018年10月22日閲覧。

根拠法:サイバーセキュリティ基本法第二十五条第一項第二号

経済産業省 サイバーセキュリティ経営ガイドライン サイバーセキュリティ経営ガイドライン”. 2018年10月22日閲覧。
情報セキュリティ管理基準 情報セキュリティ管理基準(平成28年改正版)を策定しました”. 2018年10月22日閲覧。

分野・業界別編集

各種業界編集

業界 組織 名称 備考
金融関連 金融全般 金融情報システムセンター(FISC) 金融機関等コンピュータシステムの安全対策基準・解説書 FISC ガイドライン検索システム”. 2018年10月22日閲覧。
クレジットカード業界 Payment Card Industry Security Standards Council PCIデータセキュリティスタンダード(PCI-DSS) PCI Security Standard Council”. 2018年10月22日閲覧。
ATM 重要生活機器連携セキュリティ協議会(CCDS) 製品分野別セキュリティガイドライン:金融端末(ATM)分野 協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
小売 オープンPOS 製品分野別セキュリティガイドライン:オープンPOS分野 協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]

OT・IoT編集

OTIoT関連のガイドラインとして以下のものがある:

OT全般編集

組織 名称 備考
情報処理推進機構(IPA) 制御システムのセキュリティリスク分析ガイド 「制御システムのセキュリティリスク分析ガイド 第2版 ~セキュリティ対策におけるリスクアセスメントの実施と活用~」を公開”. 2018年10月22日閲覧。
内閣サイバーセキュリティセンター(NISC) 重要インフラにおける情報セキュリティ確保係る安全基準等策定指針 重要インフラの情報セキュリティ対策に関する主な資料”. 2018年10月22日閲覧。
重要インフラにおける情報セキュリティ対策の優先順位付けに係る手引書

IEC62443編集

下記のとおりである[7][8]。以下でIACSとはIndustrial Automation Control Systemの事[7]

区分 主な対象者[7] 番号 名称 認証
全般 共通事項 62443-1-1 Terminology, Concepts, and models
62443-1-2 Master glossary of terms and abbreviation
62443-1-3 System security compliance metrics
62443-1-4 IACS security lifecycle and use-case
セキュリティプログラム 事業の要件 62443-2-1 IACS security management system - Requirement CSMS
62443-2-2 Implementation guidance for an iacs security management system
62443-2-3 Patch management in the IACS environment
事業者とインテグレータの共通の要件 62443-2-4 Security program requirement for IACS service providers
システム インテグレータの要件 62433-3-1 Security technologies for IACS
62433-3-2 Security Risk Assessment and system design
インテグレータと製品開発者の共通の要件 62433-3-3 System security requirement and security levels SSA
部品 製造開発者の要件 62433-4-1 Secure Product development lifecycle requrement EDSA
62433-4-2 Technical security requirement for IACS component

IoT全般編集

種別 組織 名称 参考

文献

標準 - IEC IEC 61508 電気・電子・プログラマブル電子の機能安全

※機能安全(セーフティ)の標準

[6]

日本 IPA/SEC つながる世界の開発指針
IoT開発におけるセキュリティ設計の手引き
IoT推進コンソーシアム IoTセキュリティガイドライン
JNSA コンシューマ向けIoTセキュリティガイド
CCDS 製品分野別ガイドライン
IoTセキュリティ評価検証ガイドライン
NISC 安全なIoTシステムのためのセキュリティに関する一般的枠組
総務省・経済産業省・

IoT推進コンソーシアム

IoTセキュリティガイドライン
米国 DHS STRATEGIC PRINCIPLES FOR SECURING THE INTERNET OF THINGS
CSA Security Guidance for Early Adapters of the Internet of Things
GSMA IoT Security Guidelines
IIC Industrial Internet Security Framework
認証

制度

EU - EU Framework for Cybersecurity Certification

産業別編集

産業別のものとして以下のものがある:

業界 組織 名称 備考・参考文献等
複数業界にまたがるもの 原子力、プロセス産業 IEC IEC 62443「汎用制御システムのセキュリティ」 セキュリティの基準[6]
IoTゲートウェイ 重要生活機器連携セキュリティ協議会(CCDS) 製品分野別セキュリティガイドライン:IoTゲートウェイ 協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
電力 電力制御システム 日本電気協会 JESC Z0004(2016) 電力制御システムセキュリティガイドライン 電力制御システムセキュリティガイドライン”. 2018年10月22日閲覧。
スマートメーター JESCZ003(2016)スマートメータシステムセキュリティガイドライン スマートメーターシステムセキュリティガイドライン”. 2018年10月22日閲覧。
原子力 IEC IEC 61513 セイフティの基準[6]
プロセス産業 IEC IEC 61511 セイフティの基準[6]
自動車 ISO ISO 26262 セイフティの基準[6]
重要生活機器連携セキュリティ協議会(CCDS) 製品分野別セキュリティガイドライン:車載分野 協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
医療 医療全般 アメリカ食品医薬品局(FDA) Postmarket Management of Cybersecurity in Medical Devices セキュリティの基準[6]
厚生労働省 医療情報システムの安全管理に関するガイドライン 医療情報システムの安全管理に関するガイドライン 第5版(平成29年5月)”. 2018年10月22日閲覧。
医療機器 IEC IEC 60601 セイフティの基準[6]
白物家電 IEC IEC 60335 セイフティの基準[6]
産業機械類 IEC IEC 62061 セイフティの基準[6]
鉄道 国土交通省 鉄道分野における情報セキュリティ確保に係る安全ガイドライン 国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン”. 2018年10月22日閲覧。
物流 物流分野における情報セキュリティ確保に係る安全ガイドライン
航空 航空全般 航空分野における情報セキュリティ確保に係る安全ガイドライン
空港 空港分野における情報セキュリティ確保に係る安全ガイドライン
船舶 外航船舶 日本海事協会(ClassNK) 船舶におけるサイバーセキュリティマネジメントシステム 船舶におけるサイバーセキュリティマネジメントシステム発行2019年3月14日閲覧。
水道 経済産業省 水道分野における情報セキュリティ確保に係る安全ガイドライン 水道分野における情報セキュリティガイドライン”. 2018年10月22日閲覧。

個人情報・プライバシー編集

組織 種別 名称 参考文献
OECD ガイドライン OECD8原則 [9]
EU 法令 GDPR
APEC ガイドライン APECプライバシー原則 [10][11]
認証制度 APEC越境プライバシールール
日本 - 法令 個人情報保護法関連五法 [9]
総務省 ガイドライン 電気通信事業における個人情報保護に関するガイドライン [12]
経産省 個人遺伝情報保護ガイドライン [13]
信用分野における個人情報保護に関するガイドライン [14]
- ISO 標準 ISO 22307 ※プライバシー影響評価 [9]
日本 JIS 標準・認証制度 JIS Q 15001プライバシーマーク

参考文献編集

外部リンク編集

関連項目編集

出典編集

  1. ^ IPA2018 p125
  2. ^ a b 村上2014 p6
  3. ^ IMS認定センター p1
  4. ^ 山下2017 p16
  5. ^ IPA-NIST2005
  6. ^ a b c d e f g h i j k l m 伊藤2018 p10, 12, 16, 17
  7. ^ a b c IEC 62443体系と発行状況およびセキュリティレベル”. 株式会社制御システム研究所. 2018年10月26日閲覧。
  8. ^ ISASecure EDSA説明「制御システム認証のアセスメントについて」SSA 2.0.0(FSA-­‐S/SDLPA/SDA-­‐S) p3”. 技術研究組合制御システムセキュリティセンター. 2018年10月26日閲覧。
  9. ^ a b c 総務省2007 p3
  10. ^ APECによる越境個人情報保護に係る取組 (PDF)”. 経済産業省 (2016年). 2016年9月1日閲覧。
  11. ^ JIPDEC常務理事認定個人情報保護団体事務局事務局長 坂下哲也 (2016年6月12日). “APEC/CBPRシステムの概要 (PDF)”. 2016年9月1日閲覧。
  12. ^ 電気通信事業における個人情報保護に関するガイドライン”. 総務省. 2018年9月7日閲覧。
  13. ^ 個人遺伝情報保護ガイドライン”. 経産省. 2018年9月7日閲覧。
  14. ^ 信用分野における個人情報保護に関するガイドライン”. 経産省. 2018年9月7日閲覧。