00 全体原則
目的
本基準は、組織内の情報システムに対して適用するセキュリティ統制の基準体系を定義する。目的は、外部基準、社内規程、監査要求、顧客要求を、担当者が実装し、証跡で説明できる要求へ変換することである。
本基準は、チェックリスト回答を集めるための文書ではない。本基準は、統制目的、実装基準、証跡基準、例外管理、評価報告を分け、統制有効性を説明できる状態を作るための基準点である。
適用範囲
本基準は、組織が保有、開発、運用、利用、委託、連携する情報システムに適用する。対象には、オンプレミス、クラウド、SaaS、PaaS、IaaS、業務委託、子会社環境、共同利用基盤、外部API、CI/CD基盤、AI・データ分析基盤を含める。
次のいずれかに該当する場合、本基準を適用しなければならない。
- 業務データ、個人情報、機密情報、決済情報、認証情報、ログ、モデル、プロンプトを扱う。
- 社内外の利用者がアクセスする。
- 業務継続、顧客対応、決済、法令対応、監査対応に影響する。
- 外部委託先、SaaS、クラウド、子会社、共同利用基盤へ依存する。
- システム停止、情報漏えい、不正アクセス、改ざん、誤処理が組織リスクとなる。
基本原則
本基準体系は、次の原則に従う。
| 原則 | 要求 |
|---|---|
| 統制目的優先 | 外部基準やチェック項目をそのまま配布せず、統制目的へ正規化する。 |
| 担当者別実装 | 実装基準は、システムオーナー、基盤、開発、運用、外部委託の責任範囲に分けて提示する。 |
| 証跡中心 | 統制有効性は、自己申告ではなく証跡で説明する。 |
| リスク比例 | 統制の深さ、証跡鮮度、承認権限は、システム分類とリスクに応じて変える。 |
| 例外管理 | 基準を満たせない場合は、期限、代替統制、残余リスク、承認者を持つ例外として管理する。 |
| 共通ID | System ID、Asset ID、Owner ID、Control ID、Exception IDを用いて証跡と評価を接続する。 |
| 継続評価 | 年次点検ではなく、証跡鮮度、是正速度、例外滞留、再指摘率を継続的に評価する。 |
| 監査可能性 | 内部監査が、証跡品質、統制評価、例外妥当性を独立に検証できる状態にする。 |
用語
| 用語 | 定義 |
|---|---|
| 統制目的 | リスクを許容範囲に収めるために達成すべき状態。技術、製品、担当部署に依存しない。 |
| 統制基準 | 統制目的を組織内の要求事項として定義したもの。適用対象、責任者、評価方法を持つ。 |
| 実装基準 | 統制基準を満たすための設定、設計、運用、レビュー、承認、テストの要求。 |
| 証跡基準 | 統制が有効であることを示す証跡の種類、取得元、頻度、鮮度、責任者、保存期間の要求。 |
| 証跡契約 | 対象システムが、どの統制目的について、どの証跡を、どの形式と頻度で提供するかを定める合意。 |
| 一次証跡 | API、ログ、設定、CI/CD、チケット、スキャン結果など、統制実行元から直接生成される証跡。 |
| 補助証跡 | スクリーンショット、会議資料、手作業集計など、一次証跡を補足する証跡。 |
| 自己申告 | チェックリスト回答、メール回答、口頭説明、監査前メモなど、システム生成ではない説明。 |
| 例外 | 基準を満たせない状態を、期限、理由、代替統制、残余リスク、承認者付きで管理するもの。 |
| リスク受容 | 残余リスクを、定められた権限者が期限付きで受け入れる意思決定。 |
| 共通統制 | IdP、EDR、ログ基盤、クラウド標準環境など、複数システムが継承できる統制。 |
| 継承統制 | 共通基盤、SaaS提供者、委託先等から提供される統制を利用すること。 |
文書間の関係
本体系では、文書間の関係を次の順序で扱う。
- 01でシステム分類と適用深度を決定する。
- 02で適用すべき統制目的を確定する。
- 03Aから03Eで担当者別の実装基準へ落とす。
- 04で証跡基準と証跡契約を定義する。
- 05で例外、代替統制、リスク受容を管理する。
- 06で評価指標、報告、監査観点を定義する。
- 90から92で出典、テンプレート、チェックリスト索引を管理する。
この順序を逆にしてはならない。チェックリスト、製品設定、出典文書を先に置くと、担当者が「何を達成するための実装か」を説明できなくなる。
責任構造
| 役割 | 責任 |
|---|---|
| 経営層 | リスク許容度、重大例外、投資判断、全社統制の優先順位を決定する。 |
| CISOまたはセキュリティ統括 | 統制目的カタログ、証跡基準、例外基準、評価指標を維持する。 |
| システムオーナー | システム分類、データ分類、リスク受容、改善計画、委託先責任を所有する。 |
| インフラ・基盤担当 | 資産、構成、ネットワーク、鍵、バックアップ、共通統制証跡を管理する。 |
| アプリ・開発担当 | 設計、実装、CI/CD、依存関係、リリース、アプリ証跡を管理する。 |
| 運用・監視担当 | ログ、監視、変更、作業承認、インシデント初動、復旧証跡を管理する。 |
| 外部サービス・委託先管理担当 | SaaS、委託先、契約、再委託、監査報告、終了処理を管理する。 |
| 内部監査 | 証跡品質、統制評価、例外妥当性、再指摘を独立に評価する。 |
責任は、作業担当と承認担当を分けなければならない。基準未達を作業担当者本人が自己承認してはならない。
共通ID
本基準体系では、次のIDを使用する。
| ID | 用途 |
|---|---|
| System ID | システム台帳、統制評価、証跡契約、リスク登録簿を接続する。 |
| Asset ID | サーバ、クラウド資源、端末、DB、コンテナ、SaaSテナント、機械IDを識別する。 |
| Owner ID | 責任者、承認者、リスク受容者、委託先責任者を識別する。 |
| Control ID | 統制目的、実装基準、証跡基準、評価指標を接続する。 |
| Evidence ID | 証跡の取得元、取得時刻、対象、評価結果を追跡する。 |
| Exception ID | 例外、期限、代替統制、残余リスク、承認、再評価を追跡する。 |
| Supplier ID | SaaS、委託先、再委託先、製品、外部APIを識別する。 |
IDが付与されていないシステムまたは資産は、統制評価の対象外にしてはならない。ID未付与は統制不備として扱う。
禁止事項
次の運用は禁止する。
- 外部基準の項番をそのまま現場チェックリストとして配布すること。
- 自己申告のみで統制有効と判定すること。
- スクリーンショットを主証跡として常態化すること。
- 期限、承認者、代替統制、残余リスクがない例外を認めること。
- 全システムへ同一の実装を要求し、システム分類を省略すること。
- 委託先またはSaaS提供者の「対応済み」回答だけで顧客側責任を完了扱いにすること。
- 証跡を集めるだけで、統制目的、評価結果、例外、改善計画へ接続しないこと。
- 内部監査へ証跡収集作業を移管し、1線と2線の責任を曖昧にすること。
基準改定
本基準は、少なくとも年1回見直す。次の場合は、定期見直しを待たずに改定しなければならない。
- 重大インシデントまたは重大監査指摘が発生した。
- 法令、規制、顧客契約、業界基準が変更された。
- 重要システム、共通基盤、SaaS、委託先、AI利用が大きく変更された。
- 例外が恒常化し、基準または実装方法が現実と乖離している。
- 証跡品質が評価に耐えないことが判明した。