92 チェックリスト索引
目的
本付録は、従来のチェックリスト項目を、統制目的ID、担当者別実装基準、証跡基準、例外管理へ接続する索引である。
チェックリストは廃止しない。ただし、チェックリストを回答収集の主運用として使用してはならない。チェックリストは、統制目的と証跡要求へ誘導する入口として使用する。
変換原則
| 従来 | 本体系での扱い |
|---|---|
| はい、いいえを回答する。 | Control IDを特定し、実装基準と証跡基準へ接続する。 |
| スクリーンショットを添付する。 | Level 1またはLevel 2証跡を主証跡とし、スクリーンショットは補助に限定する。 |
| 担当者が自由記述する。 | System ID、Asset ID、Control ID、Evidence ID、Exception IDで構造化する。 |
| 未対応を空欄にする。 | 05に基づき例外、期限、代替統制、残余リスクを登録する。 |
| 監査前に集める。 | 04に基づき平時から証跡契約と鮮度SLAで管理する。 |
代表的な対応表
| 従来チェック項目 | Control ID | 実装基準 | 主証跡 | 例外時の扱い |
|---|---|---|---|---|
| システム台帳に登録しているか。 | A-01、G-03 | 01で分類し、Owner IDを付与する。 | システム台帳、分類判定記録 | 未登録は統制不備。期限付きで登録する。 |
| 資産一覧を管理しているか。 | A-02、A-05 | Asset IDを付与し、所有者不明資産を是正する。 | CMDB、クラウド資産一覧、EDR一覧 | 所有者不明資産は例外ではなく是正対象。 |
| MFAを有効化しているか。 | I-03 | 利用者、管理者、委託先IDへリスクに応じて適用する。 | IdP設定、MFA適用一覧 | 未適用IDはException IDを付与する。 |
| 特権IDを管理しているか。 | I-02、I-06 | 特権IDを分離し、定期レビューする。 | 特権ID一覧、PAMログ、レビュー記録 | 未レビューは期限付き例外。 |
| 退職者IDを削除しているか。 | I-05 | 人事・契約終了情報と連携し、期限内に無効化する。 | 無効化ログ、棚卸し結果 | 削除遅延は是正チケットと原因分析。 |
| 外部公開ポートを管理しているか。 | P-01、P-03 | 外部公開面を棚卸し、必要通信だけ許可する。 | ASM結果、FWルール、変更履歴 | 未承認公開は即時是正または遮断。 |
| クラウド設定を確認しているか。 | C-01、C-03 | ベースラインを定義し、逸脱を検知・是正する。 | CSPM結果、ドリフト検知 | 重大逸脱は期限付き例外。 |
| 脆弱性診断を実施しているか。 | V-01、V-02、V-03、V-05 | 認証付きスキャン、SCA、DASTを対象に応じて実施する。 | スキャン結果、修正チケット、再スキャン結果 | 修正不能は代替統制付き例外。 |
| ログを取得しているか。 | L-01、L-02、L-03 | 重要ログ源、監視ルール、保持、欠損管理を定義する。 | ログ源一覧、転送設定、欠損レポート | 未収集は証跡不備として登録。 |
| インシデント対応手順があるか。 | E-01、E-02、E-03 | 検知、報告、封じ込め、復旧、連携手順を定義する。 | 対応手順、連絡網、チケット | 手順未整備は改善計画。 |
| バックアップを取得しているか。 | R-01、R-03、R-04 | ジョブ監視と復元試験を実施する。 | ジョブ結果、復元試験記録 | 復元未確認は復旧リスクとして登録。 |
| SAST/SCAを実施しているか。 | S-04、S-05 | CI/CDへ組み込み、重大検出をリリース判断へ反映する。 | CI/CD結果、SAST/SCA結果、SBOM | 未実装はリリース制限または例外。 |
| シークレットを管理しているか。 | I-07、S-06 | 承認済み保管先を使い、コード混入を検知する。 | シークレット台帳、スキャン結果 | 漏えい時は即時無効化と原因分析。 |
| 委託先を評価しているか。 | T-01、T-05 | 契約前と定期的に監査報告、認証、是正状況を確認する。 | 委託先評価票、SOC報告、ISO証明 | 未取得は契約リスクとして例外管理。 |
| 契約にセキュリティ要求があるか。 | T-02 | 通知義務、監査権、再委託、削除義務を含める。 | 契約書、覚書 | 既存契約は更新時是正計画を作る。 |
| SaaS設定を確認しているか。 | T-04、D-04、L-01 | IdP連携、MFA、権限、共有、ログを確認する。 | 設定エクスポート、権限一覧 | 未確認SaaSは利用範囲を制限する。 |
| AI利用を管理しているか。 | AI-01、AI-02、AI-03 | 利用目的、対象データ、外部送信、人間承認を定義する。 | AI利用台帳、承認記録、DLPログ | 未承認利用は停止または例外登録。 |
チェック項目の登録項目
チェックリスト項目を残す場合、次の項目を持たせる。
| 項目 | 内容 |
|---|---|
| チェックID | 従来チェック項目のID。 |
| 質問文 | 担当者向けの確認文。 |
| Control ID | 対応する統制目的ID。 |
| 主担当 | 03Aから03Eの担当分類。 |
| 実装基準 | 参照する実装基準。 |
| 証跡基準 | 参照する証跡とEvidence Level。 |
| 例外条件 | 例外登録が必要な条件。 |
| 廃止可否 | 証跡自動化によりチェック項目を廃止できるか。 |
廃止対象となるチェック項目
次のチェック項目は、証跡基準へ置き換えたうえで廃止候補とする。
- 既にAPIまたはログから自動取得できる内容。
- IdP、EDR、CSPM、CI/CD、チケットから取得できる内容。
- スクリーンショット添付だけを求める内容。
- 統制目的IDに接続できない重複質問。
- 回答しても判断、証跡、例外、改善に接続しない質問。