メインコンテンツまでスキップ

90 出典マッピング

目的

本付録は、外部基準、社内規程、監査要求、顧客要求を統制目的IDへ対応付ける方法を定義する。

出典マッピングは本体系の本体ではない。現場担当者に出典文書の項番を直接実装させてはならない。出典は、統制目的の根拠、監査説明、規制対応、顧客説明のために使用する。

マッピング原則

  • 主キーはControl IDとする。
  • 外部基準の項番を主キーにしてはならない。
  • 1つのControl IDに複数出典を対応付けてよい。
  • 1つの出典項番が複数Control IDへ分解される場合がある。
  • 出典差分は、まず既存Control IDで吸収できるか確認する。
  • 出典マッピングの追加は、02の統制目的追加を意味しない。

出典の用途

出典用途
NIST CSF 2.01Govern、Identify、Protect、Detect、Respond、Recoverの上位整理に使用する。
NIST SP 800-372RMF、共通統制、継続監視、組織レベルとシステムレベルの接続に使用する。
NIST SP 800-53A3統制評価、評価手続、証跡品質、監査観点に使用する。
NIST SP 800-554KPI、KRI、測定値、報告指標に使用する。
NIST SP 800-1375継続的監視、証跡鮮度、統制有効性の可視化に使用する。
NIST SSDF6セキュア開発、CI/CD、依存関係、リリース統制に使用する。
政府統一基準群7国内組織の規程、PDCA、教育、監査、報告、技術対策に使用する。
デジタル庁DS-2008セキュリティ・バイ・デザイン、企画から運用までの実装に使用する。
デジタル庁DS-2029CI/CD、開発基盤、シークレット、パイプライン保護に使用する。
デジタル庁DS-20310サプライチェーン、責任分界、委託先との協力、継続監視に使用する。
金融庁ガイドライン11経営関与、CISO、業務部門責任者、KPI/KRI、サードパーティリスクに使用する。
OWASP ASVS12Web/APIの認証、認可、入力検証、セッション、ログ等に使用する。
CIS Controls13資産管理、アクセス制御、構成管理、脆弱性管理、ログ管理に使用する。
ISO/IEC 27001・270021415ISMS要求事項と情報セキュリティ管理策に使用する。
PCI DSS16カード会員データ環境、決済情報、ログ、アクセス制御、脆弱性管理に使用する。

Control ID別の主な対応

Control ID群主な出典
G-01からG-06NIST CSF Govern、NIST SP 800-37、金融庁ガイドライン、政府統一基準群、ISO/IEC 27001。
A-01からA-05NIST CSF Identify、CIS Controls、政府統一基準群、ISO/IEC 27002。
I-01からI-07CIS Controls、NIST CSF Protect、PCI DSS、OWASP ASVS、政府統一基準群。
P-01からP-05CIS Controls、PCI DSS、OWASP ASVS、NIST CSF Protect。
C-01からC-05CIS Controls、政府統一基準群、NIST SP 800-137、ISO/IEC 27002。
V-01からV-05CIS Controls、NIST CSF Identify/Protect、PCI DSS、NIST SP 800-137。
L-01からL-05NIST SP 800-92、NIST CSF Detect、PCI DSS、政府統一基準群。
R-01からR-05NIST CSF Recover、政府統一基準群、ISO/IEC 27002。
D-01からD-06ISO/IEC 27002、PCI DSS、政府統一基準群、個人情報保護関連要求。
S-01からS-07NIST SSDF、OWASP ASVS、デジタル庁DS-200、DS-202。
T-01からT-06NIST SP 800-161、デジタル庁DS-203、金融庁ガイドライン、クラウド責任共有モデル。
H-01からH-04ISO/IEC 27002、政府統一基準群、金融庁ガイドライン。
E-01からE-05NIST SP 800-61、NIST CSF Respond/Recover、政府統一基準群。
AI-01からAI-05NIST AI RMF、NIST AI 600-1、社内AI利用規程、データ保護要求。

マッピング記録項目

項目内容
Control ID対応する統制目的ID。
出典名文書名、版、発行主体。
出典項番該当する章、節、管理策、要求事項。
対応種別完全対応、部分対応、参考、対象外。
補足出典要求を自社基準へ引き直した理由。
差分外部基準に対して不足する点、追加で要求する点。
確認日マッピングを確認した日。
確認者確認責任者。

参考資料(出典)

Footnotes

  1. NIST, The NIST Cybersecurity Framework (CSF) 2.0(Web/PDF, 2024年2月26日)。https://www.nist.gov/publications/nist-cybersecurity-framework-csf-20

  2. NIST, SP 800-37 Rev.2: Risk Management Framework for Information Systems and Organizations(Special Publication, 2018年12月)。https://csrc.nist.gov/pubs/sp/800/37/r2/final

  3. NIST, SP 800-53A Rev.5: Assessing Security and Privacy Controls in Information Systems and Organizations(Special Publication, 2022年1月)。https://csrc.nist.gov/pubs/sp/800/53/a/r5/final

  4. NIST, SP 800-55 Vol.1: Measurement Guide for Information Security(Special Publication, 2008年7月)。https://csrc.nist.gov/pubs/sp/800/55/v1/final

  5. NIST, SP 800-137: Information Security Continuous Monitoring(Special Publication, 2011年9月)。https://csrc.nist.gov/pubs/sp/800/137/final

  6. NIST, SP 800-218: Secure Software Development Framework (SSDF) Version 1.1(Special Publication, 2022年2月)。https://csrc.nist.gov/pubs/sp/800/218/final

  7. 国家サイバー統括室, 政府機関等のサイバーセキュリティ対策のための統一基準群(Web)。https://www.cyber.go.jp/policy/group/general/kijun.html

  8. デジタル庁, 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン(PDF, 2024年1月31日)。https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131_resources_standard_guidelines_guidelines_01.pdf

  9. デジタル庁, CI/CDパイプラインにおけるセキュリティの留意点に関する技術レポート(PDF, 2024年3月29日)。https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/33f31336/20240329_resources_standard_guidelines_guideline_01.pdf

  10. デジタル庁, 政府情報システムにおけるサイバーセキュリティに係るサプライチェーン・リスクの課題整理及びその対策のグッドプラクティス集(PDF, 2025年6月30日)。https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/a547f9a6/20250630_resources_standard_guidelines_technical_report_01.pdf

  11. 金融庁, 金融分野におけるサイバーセキュリティに関するガイドライン(PDF, 2024年10月4日)。https://www.fsa.go.jp/common/law/cybersecurity_guideline.pdf

  12. OWASP, Application Security Verification Standard(Web)。https://owasp.org/www-project-application-security-verification-standard/

  13. Center for Internet Security, CIS Critical Security Controls Version 8(Web)。https://www.cisecurity.org/controls/v8

  14. ISO, ISO/IEC 27001:2022 Information security management systems(標準ページ)。https://www.iso.org/standard/27001

  15. ISO, ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection - Information security controls(標準ページ)。https://www.iso.org/standard/75652.html

  16. PCI Security Standards Council, PCI DSS(Web)。https://www.pcisecuritystandards.org/standards/pci-dss/