【サイバーセキュリティに取り組む組織力】第3回「守りの方」に沿って守る｜セキュリティ対策の網羅性を高める

2025年12月9日2026年1月8日サイバーセキュリティに取り組む組織力

こんにちは。

前回はセキュリティ対策の目的がビジネスを守る事であるという前提で、セキュリティのリーダーシップチームが最低限為すべきことは「ルールを決め、自社の重要情報資産を特定してそれらを守る対策を打つこと」というお話をしました。

ただし攻撃側が幅広い知見をもって様々な手で侵害を狙ってくる状況下で必要な対策を網羅的に打つのはなかなか難しいので、先人の知恵の塊である標準フレームワーク「守りの方」に沿って考えましょうというのが今回の趣旨です。

前回までは専門的な言葉を極力排して書いてきたのですが、今回は若干の聞きなれない固有名詞が出てきます。ただしそれらの固有名詞の概要は専門的な知識なしで読めるようにしたつもりなので、引き続きリラックスして読んでもらえると嬉しいです。

本題に入る前にいくつか前置きを。

まずは初めに「セキュリティ」という言葉ですが、
　「情報セキュリティ」＝“情報資産を安全に活用するための取り組み全般”
　「サイバーセキュリティ」＝“デジタルシステムを通じた脅威に対する防御の取り組み”
の両方を包括する言葉としてこのブログでは使っています。

ブログの主題は「サイバーセキュリティに取り組む組織力」ですが、「情報セキュリティ」の取り組みなしに効果を得ることはできないことは自明なので、両方の取り組みを進めることが肝要です。その意味で「情報セキュリティ」と「サイバーセキュリティ」の両方を含む言葉として「セキュリティ」が文中に頻出するので、ご承知おき下さい。

また、このブログでは自社で責任をもってセキュリティ対策にあたることを前提としていることも改めてお伝えしておきたいと思います。外部のコンサルタントを連れてきて丸投げしちゃうような姿勢では良い結果を生まないというのが私の信ずるところだからです。それが背景にあるので、これからお話する「守りの方」についても自社で活用する観点を重視しています。

前置きが長くなりましたが、そろそろ本筋の「守りの方」の話に入りましょう。

「守りの方」とはセキュリティ対策の全体像を網羅性良く整理し、それらを分解して保護策のレベルに落とし込んだものです。その保護策リストを物差しにして自社の今の出来栄えを評価することから包括的なセキュリティ戦略の検討は始まります。

「守りの方」にはいくつかあります。例えば自社の対策状況がよく分からない会社などが手始めに活用するのに好適な「中小企業の情報セキュリティ対策ガイドライン」や、対策をそれなりに実施している会社が自社の保護策の網羅性をチェックするのに有効な「CIS（※） Controls」など、各社の事情に合わせて適したものを選ぶことをお勧めします。この記事の最後に代表的なものを掲載してあるので参考にしてください。

※：CIS： Center for Internet Security

今回は例として、「NIST CSF」（※）を取り上げて、構成や使い方などのお話をします。

※：NIST： National Institute of Standards and Technology
CSF: Cyber Security Framework

出典：米国国立標準技術研究所サイバーセキュリティフレームワーク（CSF） 2.0

例えば「識別」の一番初めに出てくる保護策の記述は

「組織が管理するハードウェアのインベントリ（一覧）が維持されている。」

と書かれています。
言葉が分かりやすいし、自社がどういう状態か判断して評点をつけることができそうですよね？

ちなみに評点のつけ方についてもCSFでは定義があります。4段階で一番下のティア-１は場当たり的な対処がされている状態、最上位のティア-4は継続的に改善するプロセスが回っている状態だと思ってもらえばよいでしょう。この採点法に必ずしも従う必要はないですが、次回お伝えする予定の組織成熟度を意識するなら、このティアを使うのがお勧めです。

このフレームワークの考え方を流れに沿ってもう少し詳しく見ていきましょう。

まず初めに守るべき資産やリスク、リスクを制御するための手順などが「識別」されているかをチェックし、次に「防御」策を定義し実行します。どんなに守りを固めても侵害は起こりえるので次に手を打つべきポイントは異常を「検知」する方策です。ここまでが平時の準備ですね。

残念ながら１００％はないので、侵害が見つかった後の準備をしておく必要もあります。「対応」の手順や体制を決めたり、訓練をして備えたりして有事の前に日ごろから実践力を鍛えておくことが重要です。対応が進むと被害を受けた資産を「復旧」し、ビジネスを正常に戻します。いざという時に対応できるように平時に準備しておき、有事にはその準備に従って対応を進めるという内容ですね。

これらの自社の守り方を有効に機能させるためにはルールを明記し周知したり、実践状況をモニタリングして改善したりといった組織全体への働きかけ、「統制」が必須です。対象にはサプライチェーンも含みます。

このように比較的理解しやすいストーリーになっていると思います。

具体的には各フェーズの保護策に関するベストプラクティス（前述の「識別」の最初の例のような）が列挙されているので、それに沿って守りを検討していけば高い網羅性が担保できるはずです。NISTはこれらの資料やツール群を無償で公開しているので、まずは一度参照してみてはいかがでしょうか？

またこれらのフレームワークとは少し毛色は違いますが、どの企業でも意識してほしいフレームワークにＰＰＴ（People-Process-Technology）があります。

専門家やベンダーの方とセキュリティ対策の話をしていると、どうしても「ｘｘ社のｙｙツールはどう？」みたいな話に収れんしがちですが、技術的対策だけでは自社を守ることはできません。人的対策、プロセス的対策もバランスよく打って、体制整備や従業員の意識づけ、規定基準や教育による安全な業務手順の浸透なども抜かりなく実施しておく必要があります。

その意味でこのＰＰＴを常に頭の片隅に置いておいてほしいです。なお前述の「ＮＩＳＴ ＣＳＦ」では保護策がバランスよくＰＰＴをカバーしていますし、「ISO27001」では切り口が多少違いますが、組織的管理策、人的管理策、物理的管理策、技術的管理策として網羅性の担保を目指しています。

今回お話した「守りの方」、すなわちセキュリティ対策フレームワークは網羅性の高いセキュリティ対策を立案する際のヒントになります。ただしこれが一過性の活動になってしまうのはあまりにもったいないし、時間と共にリスクは増大していくことになります。

次回は最終回として、継続的な自律改善プロセスを回す組織について書きたいと思います。

以上

---

―――参考―――

あくまでの筆者の私見ですが、主要なフレームワークの特徴を挙げてみました。参考まで。

【NIST CSF2.0】

• 組織マネジメントから保護策まで網羅性高く記述されている
• サブカテゴリーは記述が具体的で、自社のチェックリストとして活用しやすい
• ティアと呼ばれる成熟度を物差しに自己評価することがフレームワークに組み込まれている

【ISO27001】

• 政府系の各種取り組みでも参照される代表的なフレームワーク
• 組織として取り組むべき事柄が網羅的に書かれている（自社のセキュリティ規程のお手本になる）
• 保護策の記述（附属書A）はかなりシンプルで、自社のチェックリストとして活用するのはやや難しい
• 認証取得によって情報セキュリティへの取り組みを示すことを目的に活用するのがお勧め

【サイバーセキュリティ経営ガイドラインV3.0】（経産省/IPA）

• 読めば企業経営におけるセキュリティ対策の今が分かる
• 自社のセキュリティ対策活動の状況を経営に伝える際に役立つ
• 提供されるチェックリストは説明が詳細で分かりやすい
• チェックポイントが４０に大括りにされており、評価結果から具体的な改善アクションに紐づけしにくい

【中小企業の情報セキュリティ対策ガイドライン】（経産省/IPA）

• 全ての企業がマストで取り組むべき点が簡潔に記述されている
• セキュリティ責任者がいない企業、取り組みの状況が全く分からない企業などがまずチェックに活用すべきフレームワーク
• 25項目に整理されており、取り組みを始めやすい
• サイバーセキュリティ対策としての網羅的は高くない

【CIS Controls V8.1】

• 保護策の網羅性が高い
• 技術的側面が具体的に記述されており分かりやすい
• 企業の特性（ＩＧ1～3）によってどの保護策を検討すればよいか示されており、自社にあった水準のチェックリストとして活用しやすい