本基準は、組織内で使用する統制目的IDを定義する。統制目的IDは、実装基準、証跡基準、例外管理、評価報告、出典マッピングを接続する主キーである。
本カタログは、製品設定、ツール機能、外部基準の項番を列挙するものではない。NIST CSF、政府統一基準群、金融庁ガイドライン、NIST SSDF、OWASP ASVS、CIS Controls等の要求を、組織内で説明可能な統制目的へ正規化するために使用する。123456
運用原則
- 統制目的IDは、安易に増やしてはならない。
- 新しい要求は、まず既存IDへマッピングできるかを確認する。
- 統制目的は、技術、製品、組織名に依存しない表現にする。
- 実装基準は、03Aから03Eで担当者別に定義する。
- 証跡基準は、04で統制目的IDごとに定義する。
- 例外は、05で統制目的IDと実装基準を指定して登録する。
- 評価指標は、06で統制目的IDに接続する。
統制目的一覧
ガバナンス
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| G-01 | セキュリティ責任、権限、報告経路を明確にする。 | 経営、CISO | 組織規程、RACI、委員会議事録 | 責任者未設定件数 |
| G-02 | リスク許容度と例外承認権限を定義する。 | 経営、リスク管理 | リスク基準、例外承認規程、委任表 | 承認権限不備件数 |
| G-03 | システムの重要度と適用基準を決定する。 | システムオーナー | 分類判定記録、影響度評価 | 分類未了率 |
| G-04 | 統制不備を改善計画と投資判断へ接続する。 | CISO、システムオーナー | 改善計画、予算要求、進捗報告 | 重大不備滞留日数 |
| G-05 | 共通統制と個別統制の責任境界を定義する。 | CISO、共通基盤担当 | 共通統制一覧、継承証跡 | 共通統制継承率 |
| G-06 | 内部監査が証跡品質と例外妥当性を独立評価できる状態にする。 | 内部監査 | 監査計画、サンプリング記録、指摘管理 | 監査再指摘率 |
資産管理
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| A-01 | システム、資産、所有者、利用目的を把握する。 | システムオーナー | システム台帳、資産台帳 | System ID付与率 |
| A-02 | サーバ、クラウド資源、端末、コンテナ、DBを識別する。 | インフラ担当 | CMDB、クラウド資産一覧、EDR一覧 | Asset ID付与率 |
| A-03 | データ種別、保管場所、処理目的を識別する。 | データ担当、システムオーナー | データ分類表、データフロー | データ分類完了率 |
| A-04 | 外部接続、委託先、SaaS、API連携を把握する。 | 委託先管理担当 | 外部依存台帳、接続一覧 | 外部依存登録率 |
| A-05 | 所有者不明、管理外、棚卸し未了の資産を検知し是正する。 | インフラ担当、運用担当 | 不明資産レポート、是正チケット | 所有者不明資産数 |
ID・アクセス管理
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| I-01 | 利用者IDを本人、雇用状態、委託契約、利用目的と結び付ける。 | ID担当、人事連携担当 | IdPユーザー一覧、人事連携ログ | 孤立ID件数 |
| I-02 | 管理者と特権IDを通常IDから分離し、利用を最小化する。 | ID担当、インフラ担当 | 特権ID一覧、PAMログ | 特権IDレビュー完了率 |
| I-03 | MFAを利用者、管理者、外部委託IDへリスクに応じて適用する。 | ID担当 | MFA設定、例外一覧 | MFA適用率 |
| I-04 | 権限付与、変更、削除を承認制にする。 | システムオーナー、ID担当 | 権限申請、承認履歴 | 未承認権限変更件数 |
| I-05 | 退職、異動、契約終了時にIDと権限を期限内に削除する。 | ID担当、運用担当 | 無効化ログ、棚卸し結果 | 削除SLA遵守率 |
| I-06 | 定期的にアクセスレビューを実施し、不要権限を削除する。 | システムオーナー | レビュー記録、削除チケット | アクセスレビュー完了率 |
| I-07 | 機械ID、APIキー、サービスアカウント、シークレットを管理する。 | アプリ担当、インフラ担当 | シークレット台帳、ローテーション履歴 | 期限切れシークレット数 |
境界・ネットワーク防御
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| P-01 | 外部公開面を把握し、不要な公開を禁止する。 | インフラ担当 | 外部公開資産一覧、ASM結果 | 未承認公開資産数 |
| P-02 | 管理経路を分離し、直接インターネット公開を禁止する。 | インフラ担当 | ネットワーク構成、VPN/ZTNA設定 | 管理経路逸脱件数 |
| P-03 | 必要な通信だけを許可し、通信経路を記録する。 | インフラ担当 | FWルール、Security Group、変更履歴 | 過剰許可ルール数 |
| P-04 | Web/APIの公開面に防御、監視、レート制御を適用する。 | アプリ担当、インフラ担当 | WAF設定、API Gateway設定 | 保護対象カバレッジ |
| P-05 | DNS、証明書、ドメイン、外部公開設定を管理する。 | インフラ担当 | DNS台帳、証明書一覧、更新履歴 | 証明書期限切れ件数 |
構成管理
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| C-01 | OS、ミドルウェア、クラウド、SaaSの安全な構成基準を定める。 | インフラ担当、SaaS管理担当 | ベースライン、CSPMポリシー | 基準未定義件数 |
| C-02 | 構成変更を承認、記録、レビューする。 | 運用担当 | 変更申請、IaC履歴、承認ログ | 未承認変更件数 |
| C-03 | 構成逸脱を検知し、期限内に是正する。 | インフラ担当 | CSPM結果、ドリフト検知、修正チケット | 重大逸脱滞留日数 |
| C-04 | 時刻同期、証明書、暗号設定、名前解決を標準化する。 | インフラ担当 | NTP設定、TLS設定、証明書管理 | 標準逸脱件数 |
| C-05 | コンテナ、Kubernetes、サーバレスの実行設定を制御する。 | インフラ担当、アプリ担当 | クラスタ設定、Admissionログ | 危険設定検出件数 |
脆弱性管理
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| V-01 | 重要資産の脆弱性を検出し、リスクに応じて期限内に是正する。 | インフラ担当、アプリ担当 | スキャン結果、修正チケット | 重大脆弱性SLA内是正率 |
| V-02 | 認証付きスキャン、エージェント、SCA、DASTを対象に応じて使い分ける。 | セキュリティ部門、各担当 | スキャン設定、実行結果 | 認証付きスキャン率 |
| V-03 | 重大度、悪用可能性、露出度、業務影響で優先順位を決める。 | セキュリティ部門 | 優先度判定、SLA表 | 優先度未判定件数 |
| V-04 | 期限内に修正できない脆弱性を例外管理へ接続する。 | システムオーナー | 例外申請、代替統制 | 期限切れ例外数 |
| V-05 | 再スキャンまたは代替検証により是正完了を確認する。 | 運用担当、アプリ担当 | 再スキャン結果、検証記録 | 再検証未了件数 |
ログ・監視
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| L-01 | 重要イベントを取得し、調査可能な形式で保全する。 | 運用担当 | ログ源一覧、SIEM転送設定 | 重要ログ源カバレッジ |
| L-02 | 認証、特権操作、設定変更、データアクセス、外部通信を監視対象にする。 | 運用担当、ID担当 | 監視ルール、検知履歴 | 監視ルール適用率 |
| L-03 | ログの時刻同期、欠損、保持期間、改ざん耐性を管理する。 | 運用担当 | 時刻同期設定、欠損レポート | ログ欠損率 |
| L-04 | アラートの一次対応、エスカレーション、調査記録を残す。 | 運用担当 | アラートチケット、調査記録 | アラート対応SLA遵守率 |
| L-05 | 監視対象外の重要資産を検知し、是正する。 | 運用担当 | ログ未収集一覧、是正チケット | 未収集重要資産数 |
バックアップ・復旧
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| R-01 | 重要データと重要システムを復旧可能な状態に保つ。 | インフラ担当、システムオーナー | バックアップ設計、ジョブ結果 | バックアップ成功率 |
| R-02 | RTO、RPO、保存世代、隔離、暗号化を定義する。 | システムオーナー | 復旧要件、バックアップ設定 | RTO/RPO定義率 |
| R-03 | バックアップの成功、失敗、遅延を監視する。 | 運用担当 | ジョブレポート、アラート | 失敗検知SLA遵守率 |
| R-04 | 復元試験を実施し、結果と改善事項を記録する。 | インフラ担当、運用担当 | 復元試験記録、改善チケット | 復元試験成功率 |
| R-05 | ランサムウェアや破壊に備え、改ざん困難なバックアップを確保する。 | インフラ担当 | WORM設定、隔離設定 | 隔離バックアップ適用率 |
データ保護
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| D-01 | データ分類に応じて保存、利用、共有、削除を管理する。 | データ担当、システムオーナー | データ分類表、共有設定 | データ分類適用率 |
| D-02 | 個人情報、機密情報、決済情報、規制対象データを識別する。 | データ担当 | データ台帳、DLP結果 | 機微データ識別率 |
| D-03 | 保存時と通信時の暗号化を適用し、鍵を管理する。 | インフラ担当 | KMS設定、TLS設定 | 暗号化適用率 |
| D-04 | データ持ち出し、外部共有、ダウンロードを制御する。 | SaaS管理担当、運用担当 | DLPログ、共有リンク一覧 | 未承認共有件数 |
| D-05 | 保存期間と削除期限を定義し、削除証跡を残す。 | システムオーナー、法務 | 保持ポリシー、削除記録 | 削除期限超過件数 |
| D-06 | 本番データの開発・検証利用を制御する。 | アプリ担当、データ担当 | マスキング記録、利用承認 | 未承認本番データ利用件数 |
セキュア開発
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| S-01 | 企画、要件、設計、実装、テスト、リリースにセキュリティを組み込む。 | アプリ担当 | SDLC定義、レビュー記録 | セキュリティレビュー実施率 |
| S-02 | 脅威モデリングまたはリスクレビューを実施する。 | アプリ担当、セキュリティ部門 | 脅威モデル、設計レビュー | 脅威レビュー完了率 |
| S-03 | 認証、認可、入力検証、セッション、エラー処理を安全に実装する。 | アプリ担当 | コードレビュー、テスト結果 | 重大設計不備件数 |
| S-04 | SAST、SCA、DAST、IaCスキャンをCI/CDへ組み込む。 | アプリ担当、基盤担当 | CI/CD結果、スキャン結果 | CI/CDセキュリティゲート適用率 |
| S-05 | 依存ライブラリ、OSS、コンテナイメージ、SBOMを管理する。 | アプリ担当 | SBOM、SCA結果 | SBOM生成率 |
| S-06 | シークレットをコード、ログ、成果物へ混入させない。 | アプリ担当 | シークレットスキャン結果 | シークレット検出件数 |
| S-07 | リリース承認、署名、ビルド証明、ロールバック手順を管理する。 | アプリ担当、運用担当 | リリース承認、署名ログ | 未承認リリース件数 |
サプライチェーン
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| T-01 | 委託先、SaaS、製品、OSS、外部接続のリスクを評価する。 | 委託先管理担当 | 委託先評価、リスク評価 | 委託先評価完了率 |
| T-02 | 契約にセキュリティ要求、監査権、通知義務、削除義務を含める。 | 調達、法務 | 契約書、覚書 | 契約要求充足率 |
| T-03 | 再委託、オフショア、サポートアクセスを把握する。 | 委託先管理担当 | 再委託一覧、アクセス記録 | 再委託未確認件数 |
| T-04 | SaaSの顧客側設定、ID連携、権限、ログを管理する。 | SaaS管理担当 | 設定エクスポート、権限一覧 | SaaS設定レビュー完了率 |
| T-05 | 委託先の監査報告、認証、是正状況を定期確認する。 | 委託先管理担当 | SOC報告書、ISO証明、是正計画 | 委託先証跡更新率 |
| T-06 | 解約、移管、契約終了時にデータ返却、削除、アクセス停止を確認する。 | 委託先管理担当 | 削除証明、停止記録 | 終了処理証跡取得率 |
人的運用
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| H-01 | 役割に応じた教育、周知、訓練を実施する。 | 人材、セキュリティ部門 | 受講記録、訓練結果 | 対象者受講率 |
| H-02 | 作業承認、職務分掌、相互牽制を定義する。 | 運用担当、システムオーナー | 作業申請、承認記録 | 職務分掌違反件数 |
| H-03 | 委託先要員の入退場、教育、アクセス権を管理する。 | 委託先管理担当 | 要員台帳、権限棚卸し | 委託先要員棚卸し完了率 |
| H-04 | 特権作業、緊急作業、例外作業の記録を残す。 | 運用担当 | 作業ログ、緊急変更記録 | 作業記録欠損件数 |
インシデント対応
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| E-01 | インシデントの検知、報告、判断、封じ込め、復旧の手順を定義する。 | セキュリティ部門、運用担当 | 対応手順、連絡網 | 手順未整備件数 |
| E-02 | 重要システム、委託先、SaaS、法務、広報との連携手順を持つ。 | システムオーナー、法務 | 連携手順、契約上の通知条件 | 連絡先更新率 |
| E-03 | インシデントチケットに時系列、判断、証跡、影響範囲を記録する。 | 運用担当 | インシデントチケット | 記録欠損件数 |
| E-04 | 机上演習、技術演習、復旧演習を実施する。 | セキュリティ部門 | 演習記録、改善計画 | 演習実施率 |
| E-05 | 再発防止策を統制カタログ、証跡基準、実装基準へ反映する。 | CISO、各担当 | 再発防止策、基準改定履歴 | 再発防止完了率 |
AI・自動化統制
| ID | 統制目的 | 主担当 | 代表証跡 | 主要指標 |
|---|
| AI-01 | AI利用目的、利用者、対象データ、モデル、外部送信を把握する。 | システムオーナー、データ担当 | AI利用台帳、モデル台帳 | AI利用登録率 |
| AI-02 | 機密情報、個人情報、規制対象データのAI入力を制御する。 | データ担当、SaaS管理担当 | DLPログ、利用承認 | 未承認入力件数 |
| AI-03 | AI出力の利用範囲、人間承認、誤用時の責任を定義する。 | システムオーナー | 承認記録、業務ルール | 人間承認適用率 |
| AI-04 | AIエージェント、自動化ID、連携ツールの権限を最小化する。 | ID担当、アプリ担当 | 機械ID一覧、権限設定 | 過剰権限機械ID数 |
| AI-05 | プロンプト、モデル設定、評価結果、出力監視を必要に応じて記録する。 | アプリ担当、データ担当 | 評価ログ、プロンプト管理記録 | 評価ログ保持率 |
統制目的の追加・変更
統制目的を追加または変更する場合は、次を満たさなければならない。
- 既存IDで表現できない理由を記録する。
- 追加する統制目的の主担当、関係者、証跡基準、評価指標を定義する。
- 03Aから03Eの実装基準へ反映する。
- 04の証跡基準へ反映する。
- 05の例外管理で指定可能にする。
- 90の出典マッピングを更新する。
参考資料(出典)