情報セキュリティに関するガイドラインを使用することで、組織に必要な情報セキュリティ体制、対策の構築により、情報の管理と保護が図れます。第一に組織体制(経営陣、システム責任者、システム管理者、システム利用者の連携と指揮命令系統、外部との連携)がベースとなります。次に要求される情報の管理を実施していきます。
基本とされる「情報セキュリティの3原則」は、組織の情報活動に関わる脅威から、情報資産を保護するため「機密性・完全性・可用性」を確保することです。
また「情報セキュリティの7要素」とは3原則である「機密性・完全性・可用性」に、「真正性・責任追跡性・否認防止・信頼性」の4要素を加えた7要素をいいます。
【セキュリティ対策の大まかな手順例】
①セキュリティポリシーの確立
経営リスクと事業継続を軸に、情報保護を目的に方針ポリシーを決定します。
②情報資産の可視化と重要度
何を守るべきかを明確化(3原則7要素)して、重要度、優先順位を設定します。
③リスク・脆弱性の特定と評価
想定した脅威に対する弱点を洗い出します。投資判断の根拠ともなります。
④セキュリティ基盤の強靭化
ネットワーク・クラウドインフラと認証基盤を強化します。
⑤人的セキュリティの強化
教育、リテラシーの向上によりヒューマンリスクを最小化させます。
⑥インシデント対応体制の構築
連絡体制を確立、迅速・正確な初動と社内外連携を確保します。
⑦継続的改善(PDCA)による向上
監査・演習・分析を基に、対策のアップデートを継続します。
⑧事業継続への備え
確実なバックアップとBCP対策、代替業務を準備し、演習を行います。
サイバーセキュリティ政策(経済産業省)
概要: 産業界における情報セキュリティに関わる情報を発信しています。
情報セキュリティの運用管理を行う上での規範となる指針です。
「情報セキュリティ管理基準」「情報セキュリティ監査基準」
サイバーセキュリティ経営ガイドラインと支援ツール
URL: https://www.meti.go.jp/policy/netsecurity/mng_guide.html
情報サプライチェーン強化に向けたセキュリティ対策評価制度 (SCS評価制度)
取引先に関わる情報セキュリティ対策は大変重要になっています。取引先のセキュリティ対策評価を(現行のIPA SECURITY ACTIONによる ★1~★2 の評価に加えて)、新たに ★3~★5 のランクを設けてサプライチェーンのセキュリティ対策を評価する制度です。現状取得は必須ではありませんが、発注側が取引先の評価レベル(★3~★5)を確認し、セキュリティの確保をはかります。経済産業省により2026年度に制定されます。
SCS評価制度の要求事項・評価事項については、2026年下期にはSCS評価制度のガイドライン(評価の解説書)が公開される見込みです。また、自動車産業サイバーセキュリティガイドライン(日本自動車工業会)およびISO/IEC 27001規程の要求事項・管理策等が構築準備の参考となります。
経済産業省 サプライチェーン強化に向けたセキュリティ対策評価制度 (SCS評価制度)
URL: https://www.meti.go.jp/policy/netsecurity/scs.html 2026年5月20日公開
IPA サプライチェーン強化に向けたセキュリティ対策評価制度 (SCS評価制度)
URL: https://www.ipa.go.jp/security/scs/index.html 2026年4月21日公開
日本自動車工業会 自動車産業サイバーセキュリティガイドライン
URL: https://www.jama.or.jp/operation/it/cyb_sec/cyb_sec_guideline.html
独立行政法人情報処理推進機構(IPA)
概要: 情報セキュリティ対策の指針・ガイドライン。情報セキュリティ基本方針を制定し、対応する組織を構築し、情報セキュリティの運用と改善を行います。企業が情報セキュリティポリシーを制定し、規定類を活用して運用を行っていく上で、参照することが有用です。
IPA 中小企業の情報セキュリティ対策ガイドライン (2026年6月 第4.0版に改訂されました)
ネットワーク機器、サーバ、端末、アプリケーション、クラウドなどあらゆる情報システムに対して、セキュリティ情勢の変化ににそった適切な運用(正しい選定と設定、問題のない維持管理、ソフトウェア対策、再構築の最適性)が求められます。
関係する情報セキュリティの設定情報、脅威情報、脆弱性情報、参考情報を適切に入手することで、迅速な準備および対策が可能になります。
最新の情報を入手できるか否かが大変重要です。公開された脆弱性情報を解析し悪用するケースが多くあり、タイミングを逸しない対応が求められます。
2026年では、生成AIを悪用した手口が増加しています。十分な留意が必要です。
・ランサムウエア対策
「ランサムウエア」
企業でのランサムウエアの感染が多く発生しています。システムの暗号化、システム停止による業務中断、身の代金の要求、情報の漏えい、サプライチェーンへの波及、さらなる犯人からの要求が引き起こされます。十分な対策と感染後の対応、業務継続へ向けた取り組みが必要です。
「経緯原因」
①VPNネットワーク機器経由および ②不正アクセスから侵入したケースが多発しています。③数ヶ月の期間をかけて密かに侵入し管理情報、サーバ情報、特権ID情報を偵察し搾取されます。「この侵入をブロックできることが望ましい対応です。」 ④その後サイバー攻撃が実行される際には、搾取した特権IDを用いて、防御アプリケーション(アンチウィルスおよび挙動監視、EDR)を無効化し、活動を始めます。
「感染対策」
①機密情報のネットワーク分離、マイクロセグメンテーション化 ②ネットワーク機器および防御アプリケーションの脆弱性対応と最新化の維持、従来型のVPNやRDP接続の見直し ③サーバや端末ログインの多要素認証対応(外部からまたは委託先からのログインはとくに厳格に管理) ④特権ID権限の厳密な管理と使用時以外での特権IDの停止、不要な特権IDの削除 ⑤端末ログイン時のユーザーには管理者権限を付与しない ⑥特権IDパスワードの文字数増値、パスワード使いまわしの禁止 ⑦ゼロトラストの構築、不正侵入の検知、適切なEDR・XDR導入、SOC監視の強化などの考慮が必要です。
また 、⑦ADドメインサーバ・EDR・アンチウイルスサーバ・認証サーバ・セキュリティ管理サーバ始め重要なサーバは、侵入された後の横展開ラテラルムーブメントなど不正な活動を受けないような分離・防御施策が必要です。 ⑧セキュリティにおける例外設定、例外IDはセキュリティホールの重大なリスクがあります。例外設定を残置しておかないことも重要です。 ⑨フィッシング(なりすまし)対策には、インフラ側対処と利用者側への周知徹底を実施します。
「企業でのBCP対策」
①ITシステムについての複数の世代バックアップおよび ②論理的または物理的に分離されたオフラインバックアップを確保(必ずドメイン外での保管を確保すること)、③ITシステムが停止した際の代替として安全に隔離されたDRスタンバイの構築を考慮して下さい。④近年のサイバー攻撃では、クラウドおよびバックアップデータも標的にされており、クラウドデータの暗号化と搾取漏えい、バックアップデータの削除が実行されています。
「手動代替運用の準備」
・ITシステムの復旧まで手動での代替運用が必要となる場合や万一の復旧困難な状況を想定し、通常のバックアップデータ以外に、運用中の各ITシステムから事業継続に必要な (1)連絡先、作業手順書、手動運用が可能なように加工されたデータ(販売・生産・工程・在庫・開発・人事・経営・会計)、(2)ITシステムを一から構築する事態に備えたマスタ情報を、業務が可能な間隔で定期的に出力し、隔離された安全な場所に、電子データまたは紙媒体で保管しておくことが重要です。
・年1回は手動運用の演習を実施し、サイバー攻撃、IT障害は発生しうるものとして事業継続についてご準備下さい。
情報セキュリティ(IPA)
概要: セキュリティの脅威情報を掲載しています。
とくに「情報セキュリティ十大脅威」「情報セキュリティ白書」は、年度ごとに更新し掲載されており、リスク対応に役立ちます。
JPCERT/CC
概要: 国内外のセキュリティインシデントに関する早期警戒情報や、脆弱性情報を掲載しています。
脆弱性情報の入手先としては最速の入手が可能です。
生成AIを悪用し脆弱性を洗い出すことで、新たな攻撃が出現しています。脆弱性対策が未完了なタイミングをターゲットにしています。非常に危険です。先手を取って脆弱性対策を行って下さい。
セュリティ情報のメーリングリストに登録し、早急に情報を入手することをお勧めします。
「インシデントハンドリングマニュアル」
情報セキュリティインシデント発生時の対処について詳細が記されています。シーサートの構築の際にも有用となります。
国家サイバー統括室(NCO)
概要: 日本国のサイバーセキュリティ戦略本部からの情報発信です。
Internet Crime Complaint Center (IC3)
概要: 米国のサイバーセキュリティ、インシデント情報(米国FBI)
URL: https://www.ic3.gov
海外のインシデント事例が、日本国内でも発生するケースが多くあるため非常に重要です。英文サイトとなりますので、ブラウザ翻訳などをご使用下さい。
No more Ransom プロジェクト
概要: ランサムウエアに関する国際的なプロジェクトです。
ランサムウエアへの対策事項、解読された復号ツールの提供がされています。事前対策として、ランサムウエアに感染してしまう前に是非ご一読をお勧めします。
セキュリティ関連 NIST文書について(IPA)
概要: 米国 NIST SP800は 情報セキュリティの世界的スタンダードとなっています。この情報セキュリティ文書(翻訳)の参照ができます。
URL: https://www.ipa.go.jp/security/reports/oversea/nist/about.html
サイバー攻撃や情報漏洩が発生した際に、どのように対処して、どこに報告すべきかを理解することが重要です。
警察庁 サイバー警察局
概要: サイバー犯罪の被害に関する相談窓口
個人情報保護委員会
概要: 個人情報漏洩事故が発生した場合の報告、手続きについて詳細なガイドラインなど
独立行政法人情報処理推進機構(IPA)
概要: セキュリティインシデント(ウイルス感染、不正アクセスの発生)の届け出。
適切な調査分析、判断および法的対応が可能なフォレンジック(証拠保全)を行い、確実な復旧作業を実施するめに専門家の支援が必要な場合が多くあります。
インシデント発生時には、証拠保全を考慮して、ネットワーク遮断、感染機器の分離など緊急対応をとって下さい。インシデントの拡大および証拠滅失の可能性があるため、シャットダウンは控えて下さい。
また情報の復旧のために、データ、OS、設定情報等の適切なバックアップが必要です。とくに重要なデータは遠隔地バックアップ、オフラインバックアップ、分離されたクラウドバックアップが必須となります。定期的なリカバリー試験を考慮して下さい。
サイバーインシデント緊急対応企業一覧(JNSA)
概要: インシデント発生時のフォレンジック、復旧支援が可能な企業一覧です。万が一の発生に備えて平常時からの準備が重要です。
情報セキュリティサービス基準適合サービスリスト(IPA)
概要: 経産省「情報セキュリティサービス基準」に従った各種の情報セキュリティサービス事業者が掲載されています。
特定非営利活動法人デジタル・フォレンジック研究会
概要: フォレンジックの手引き、当研究会の会員であるフォレンジック事業者の紹介が記載されています。
フォレンジックに関する手引き書は、必読の価値があります。フォレンジックが必要となる場合に備えておくと有用です。
株式会社サイバーディフェンス研究所
概要: セキュリティサービスを実施しており、証拠収集と証拠分析を行うフォレンジックツールが掲載されています。
情報セキュリティの教育および啓蒙を行うことで、セキュリティの向上に役立ちます。
情報システムの利用者に対する周知教育による情報セキュリティレベルの底上げ、ウイークポイントの克服は情報保護のため重要な要素です。ランサムウエアを含めたマルウエア感染の予防のためにも必須です。
(2026年)インターネットサービスへのセキュリティ対策としては、従来のパスワードやメール認証では無く、パスキーによる認証が有効です。
情報セキュリティ教材・ツール(IPA)
概要: 企業向け、一般向けの教育資料、研修動画、教材を掲示しています。
IPA「情報セキュリティ6か条」は最も基本的な遵守事項です。2026年、従来の情報セキュリティ5か条から6か条に改定されました。重要な対策といえる「バックアップを取ろう!」が新たに追加されています。
第1条:OSやソフトウェアは常に最新の状態にしよう!
第2条:ウイルス対策ソフトを導入しよう!
第3条:パスワードを強化しよう!
第4条:共有設定を見直そう!
第5条:バックアップを取ろう!
第6条:脅威や攻撃の手口を知ろう!
国民のためのサイバーセキュリティサイト(総務省)
概要: セキュリティの基礎知識を掲載しています。
サイバーセキュリティ初心者のための三原則
その1 ソフトウェアを最新に保とう
その2 強固なパスワードの設定と多要素認証を活用しよう
その3 不用意に開かない・インストールしない
みんなで使おうサイバーセキュリティ・ポータルサイト(国家サイバー統括室)
概要: 国家サイバー統括室による教育資料、情報サイトの紹介が多くあります。
情報セキュリティ対策の準備の際の参考としても、活用できます。
(自宅向け、オフィス向け、教育者向け、他)
ISMS(情報セキュリティ)認証、プライバシーマーク(個人情報保護)付与、シーサート(インシデント対応組織)活動は、情報セキュリティに関して有用な活動となります。
ISMSでは組織が保護すべき情報資産を対象にしており、プライバシーマークでは個人情報を対象として保護する決まりです。
セキュリティポリシーを制定し、トップマネジメントを頂点とした組織を構築した上で、各々に定められたルールに従った情報セキュリティ活動を行います。
ISMS認証、プライバシーマークについては、対象の組織が第三者機関から各々の情報セキュリティ事項について順守できていることが示されます。
ISO27001:ISMS認証取得組織検索(ISMS-AC)
概要: ISMS-ACに登録された認証組織の検索が可能です。ITC関係の取引先として、ISMS認証された組織を対象とすることが、情報セキュリティ確保に対して有益となります。
ISMS(ISO27001)登録審査機関
下記に著名な登録審査機関を記します。国内での審査機関として信頼できる実績があります。
機関名: 一般財団法人 日本品質保証機構(JQA)
機関名: BSIグループジャパン株式会社
機関名: SGSジャパン株式会社
プライバシーマーク制度:付与事業者検索(JIPDEC)
概要: JIPDECに登録されたプライバシーマーク付与事業者の検索ができます。
一般社団法人日本シーサート協議会(NCA)
概要: CSIRT(コンピュータセキュリティにかかるインシデントに対処するための組織)間の情報共有及び連携を図る組織です。CSIRT組織の構築、CSIRT人材の育成、脆弱性管理などの情報が掲載されており、大変有用です。
企業内、企業グループ内においても、シーサート活動が重要視されています。
シーサート活動は、①情報セキュリティインシデント(事故)発生時の適切な対応、フォレンジック、復旧作業②社内外への連絡連携、経営陣への連絡、情報の公開③通常時の教育と啓蒙活動、が主とした内容となります。インシデント対応のためには大変重要な組織といえます。
(トピックス) 2025年10月、日本シーサート協議会から 14年ぶりの改訂となる「CSIRTスタータキット Ver 3.0」が公開されました。シーサート構築の際に第一選択となる手引き書です。
URL: https://www.nca.gr.jp/activity/pub_doc/CSIRTstarterKit_v3.html
情報セキュリティをより深く理解するための関連する法律や専門資格を紹介します。
e-Gov 法令検索
概要: 個人情報保護法、著作権法、不正アクセス禁止法、迷惑メール防止法、サイバーセキュリティ基本法、不正競争防止法、電気通信事業法、電波法、有線電気通信法など、ITCインフラや情報セキュリティに関連する日本の法律が検索できます。
CompTIA JAPAN
概要: 国際的に認知されている情報セキュリティを含む専門家の認定資格「Security+」「CySA+」「SecurityX」などに関する情報を提供しています。国際的なスタンダードによる試験によりグローバルな視点をもった人材が確保できます。
シラバスが最新のセキュリティに対応し世界標準にアップデートされるため、受験の有無にかかわらず、シラバスをご参考いただくと最新の情報セキュリティに関する項目や用語がバランスよく把握できます。定期的なご確認をお勧めします。
(ISC)² Japan
概要: 国際的に認知されている情報セキュリティ専門家の認定資格「CISSP」「SSCP」などに関する情報を提供しています。国際的なスタンダードによる試験によりグローバルな視点をもった人材が確保できます。
シラバスおよび試験問題も最新のセキュリティに対応し世界標準にアップデートされています。
情報処理技術者試験(IPA)
概要: 情報処理および情報セキュリティに関する国家試験の情報を提供しています。「情報処理安全確保支援士」など。
電気通信国家試験センター 工事担任者、電気通信主任技術者(一般財団法人日本データ通信協会)
概要: 電気通信事業法に基づく国家資格に関する情報を提供しています。電気通信サービスを適切に提供するための法律となります。
昨今ネットワークインフラは大変重要な基盤となっています。また日本データ通信協会は、迷惑メールに関する情報も提供しています。
電気通信にかかわる技術情報、法令が習得できます。情報管理、情報セキュリティに関わる方にとっても、基礎資格(第二級デジタル通信、第一級デジタル通信)の学習をいただくことで、ハードウエアの観点からの電気の基礎、通信技術の基礎が身に付き総合的なスキルアップになります。
無線従事者(公益財団法人日本無線協会)
概要: 電波法に基づく国家資格に関する情報を提供しています。電波を公平かつ能率的に利用するための法律となります。
無線技術を利用したネットワークインフラ、中継局、衛星局、携帯基地局、各無線局もますます重要な社会的基盤となってきています。
一般社団法人フィッシング対策協議会
概要: フィッシング詐欺に関する事例情報、資料、ニュースを提供しています。
迷惑メール相談センター(日本データ通信協会)
概要: 迷惑メールに関わる事例情報、ニュースを提供しています。