統制・実装基準
本体系の位置付け
本体系は、セキュリティ要求を「統制目的」「実装基準」「証跡基準」「例外管理」「評価報告」に分け、組織内で満たすべき基準として定義するものである。
本体系はブログ記事ではない。個別の読み物、解説、啓発資料ではなく、システムオーナー、開発、基盤、運用、委託先管理、セキュリティ部門、内部監査が参照する基準点として使用する。
文書構成
| 番号 | 文書 | 目的 |
|---|---|---|
| 00 | 全体原則 | 基準体系全体の原則、用語、責任構造を定義する。 |
| 01 | システム分類と適用判定 | システムのTier、外部依存、AI/Data該当性、適用深度を定義する。 |
| 02 | 統制目的カタログ | 組織共通の統制目的ID、主担当、証跡、評価指標を定義する。 |
| 03A | システムオーナー実装基準 | 重要度、データ分類、リスク受容、改善計画、委託先責任を定義する。 |
| 03B | インフラ・基盤実装基準 | 資産、構成、ネットワーク、パッチ、鍵、バックアップ、管理経路を定義する。 |
| 03C | アプリ・開発実装基準 | 設計、認可、入力検証、CI/CD、依存関係、リリースを定義する。 |
| 03D | 運用・監視実装基準 | ログ、監視、変更、作業承認、インシデント初動、復旧対応を定義する。 |
| 03E | 外部サービス・委託先管理実装基準 | SaaS、委託先、契約、再委託、監査報告、解約時削除を定義する。 |
| 04 | 証跡基準 | 証跡の種類、信頼度、鮮度、改ざん耐性、保存、証跡契約を定義する。 |
| 05 | 例外管理とリスク受容基準 | 例外、代替統制、残余リスク、承認、期限、再評価を定義する。 |
| 06 | 評価・報告基準 | KPI、KRI、経営報告、2線モニタリング、内部監査観点を定義する。 |
| 90 | 出典マッピング | 外部基準、社内規程、統制目的IDの対応関係を管理する。 |
| 91 | 証跡テンプレート集 | 証跡契約、例外申請、アクセスレビュー、復元試験等の様式を定義する。 |
| 92 | チェックリスト索引 | 従来チェック項目を統制目的、実装基準、証跡基準へ接続する。 |
| 93 | 証跡DB設計 | 証跡レジストリのテーブル、ER関係、更新責任、多対多関係を定義する。 |
適用の原則
本体系の適用においては、次を満たさなければならない。
- 統制目的は共通化する。
- 実装方法はシステム分類、技術環境、責任分界に応じて選択する。
- 証跡は一次証跡またはシステム生成レポートを原則とする。
- 自己申告は主証跡として使用してはならない。
- 例外は期限、代替統制、残余リスク、承認者、再評価日を持たなければならない。
- 評価報告は、チェックリスト達成率ではなく、統制有効性、証跡品質、例外滞留、是正速度で行う。
読む順序
新規導入時は、00、01、02、04、05、06を先に確定し、その後に03Aから03Eを担当者別に展開する。
既存チェックリストを移行する場合は、92で統制目的IDへ対応付け、04の証跡基準と05の例外管理へ接続する。証跡レジストリを実装する場合は、93の証跡DB設計を参照する。