経済産業省 御中

サプライチェーン全体のサイバーセキュリティ強化に

求められる取組の国際標準化動向調査報告書

2019年 3月 27日

社会 ICTイノベーション本部

2

目次

1. 背景・目的 ............................................................................................................................ 6

1.1 背景 .............................................................................................................................. 6

1.2 目的 .............................................................................................................................. 7

1.3 調査実施概要 ................................................................................................................ 7

2. 標準化動向に関する調査 ...................................................................................................... 8

2.1 諸外国の公的機関の取組 ............................................................................................. 8

2.1.1 NIST: NIST SP 800-161: Supply Chain Risk Management Practices for Federal

Information Systems and Organizations............................................................. 10

2.1.2 NIST: NISTIR 8228 (DRAFT): Considerations for Managing Internet of Things

(IoT) Cybersecurity and Privacy Risks ............................................................... 13

2.1.3 ENISA: Good Practices for Security of Internet of Things in the context of Smart

Manufacturing ..................................................................................................... 15

2.1.4 NIST: NIST SP 800-37 Rev. 2, Risk management framework for information

systems and organizations: A system life cycle approach for security and privacy

............................................................................................................................ 18

2.1.5 NCSC: Supply chain security collection............................................................... 20

2.1.6 ENISA: Considerations on ICT security certification in EU ................................. 22

2.1.7 ENISA: Supply Chain Integrity: An overview of the ICT supply chain risks and

challenges, and vision for the way forward ........................................................ 23

2.1.8 CSA: Singapore’s Cybersecurity Strategy ........................................................... 25

2.1.9 DICT: National Cybersecurity Plan 2022 ............................................................. 27

2.2 国際標準化機関における標準化策定動向 .................................................................. 29

2.2.1 IEC 62443-2-1:2010 ............................................................................................. 30

2.2.2 IEC 62443-3-3:2013 ............................................................................................. 33

2.2.3 ISO/IEC 27036-3:2013 ......................................................................................... 35

3. 国際標準化戦略の検討 ........................................................................................................ 37

3.1 対策フレームワークの優位性分析 ............................................................................. 37

3.2 有識者ヒアリング結果 ............................................................................................... 41

3.2.1 国内有識者ヒアリング結果 ................................................................................. 41

3.2.2 海外有識者ヒアリング結果 ................................................................................. 43

3.3 国際標準化戦略 .......................................................................................................... 45

3.3.1 ISO/IEC JTC 1/SC 27 に対する提案（国際標準化戦略案 1） ............................ 45

3.3.2 ISO/IEC JTC 1/SC 41 に対する提案（国際標準化戦略案 2） ............................ 47

3.3.3 IEC TC 65に対する提案（国際標準化戦略案 3） .............................................. 48

3.3.4 ISO/IEC JTC 1/SC 27 に対する提案（国際標準化戦略案 4） ............................ 49

3.4 対策フレームワーク全体の戦略 ................................................................................ 50

3.4.1 アクションプラン 1：国際社会への対策フレームワークの前提共有 ................ 52

3.4.2 アクションプラン 2：国内企業への利用促進..................................................... 53

3.4.3 アクションプラン 3：国内の標準化体制強化..................................................... 54

3

3.4.4 アクションプラン 4：国内でのセキュリティ基準としてのデファクト化 ......... 55

3.4.5 アクションプラン 5：サプライヤー選定基準のためのガイドラインの策定 ..... 55

3.4.6 アクションプラン 6：国際標準化の推進 ............................................................ 56

4. まとめ .................................................................................................................................. 57

別紙１ 対策フレームワークにおける「添付 C 対策要件に応じたセキュリティ対策要件」

との対比............................................................................................................................ 59

4

図目次

図 2-1 ENISA 資料におけるスマート・マニュファクチュアリングの階層分類 ......... 17

図 3-1 3 層・6 構成要素に対する諸外国関連文書対策要件のマッピング .................... 40

図 3-2 3 層・6 構成要素に対する対策要件のマッピング................................................ 47

図 3-3 対策フレームワークに基づくアクションプラン案 .............................................. 50

図 3-4 アクションプランのマッピング ............................................................................. 52

図 3-5 Industry 4.0 におけるアーキテクチャ RAMI 4.0 の構造 ....................................... 53

5

表目次

表 2-1 諸外国公的機関 調査文献一覧 ................................................................................. 8

表 2-2 NIST SP 800-161 調査・整理結果 ........................................................................... 10

表 2-3 NISTIR 8228 (DRAFT) 調査・整理結果 ................................................................. 13

表 2-4 ENISA, Good Practices for Security of Internet of Things in the context of Smart

Manufacturing 調査・整理結果 ....................................................................................... 15

表 2-5 NIST SP 800-37 Rev. 2 調査・整理結果 ................................................................. 18

表 2-6 NCSC, Supply chain security collection 調査・整理結果 ........................................ 20

表 2-7 ENISA, Considerations on ICT security certification in EU 調査・整理結果 ......... 22

表 2-8 ENISA, Supply Chain Integrity: An overview of the ICT supply chain risks and

challenges, and vision for the way forward 調査・整理結果 ........................................... 23

表 2-9 CSA, Singapore’s Cybersecurity Strategy 調査・整理結果 ..................................... 25

表 2-10 DICT, National Cybersecurity Plan 2022 調査・整理結果 ..................................... 27

表 2-11 国際標準化規格 調査規格一覧 ............................................................................. 29

表 2-12 IEC 62443-2-1:2010 調査・整理結果 .................................................................... 30

表 2-13 IEC 62443-3-3:2013 調査・整理結果 .................................................................... 33

表 2-14 ISO/IEC 27036-3:2013 調査・整理結果 ................................................................ 35

表 3-1 諸外国文書と比較した際の対策フレームワークの特徴・独自性 ...................... 38

表 3-2 国際標準化戦略案 ..................................................................................................... 45

表 3-3 対策フレームワークに基づくアクションプラン案 .............................................. 51

6

1. 背景・目的

1.1 背景

サイバー攻撃の起点は急激に拡大し、攻撃の手法も高度化しており、サイバー攻撃の脅威

は、あらゆる産業活動に潜むようになっている。今や、サプライチェーン全体、産業界全体

の取組として、サイバーセキュリティ対策を強化していかなければならない。

また、サイバー攻撃は、国境を越えて行われるものであり、国内だけの取組では十分では

なく、米欧各国等との連携を強化し、我が国の取組を積極的に国際標準に提案するなど、国

際ハーモナイゼーションを確保していくことを常に視野に入れた取組を進めていく必要が

ある。

海外に目を向けると、サプライチェーン・リスクの増加に対して、サイバーセキュリティ

対策の強化が進められている。米国では、米国国立標準技術研究所（NIST）がサイバーセキ

ュリティ対策の全体像を示したフレームワークを 2014 年 2 月に策定しているが、2018 年 4

月の改訂によりサプライチェーンのリスク管理を行うことが追記された。また、防衛調達に

参加する企業であって機密性の高い情報を共有する企業に対して NIST SP 800-1711の遵守

が義務化されるなど、サイバーセキュリティ対策の強化が進められている。欧州でもネット

ワークにつながる機器の認証フレームワークの導入に向けた議論が進められている。米国

は安全保障の観点から、欧州はプライバシー保護の観点から、それぞれ政策を推進している

が、今後このような取組によって一定のセキュリティ要件を満たすことができない事業者、

製品、サービスがグローバルなサプライチェーンからはじき出されるといった影響も懸念

される。

しかしながら、上記のようなサプライチェーンのサイバーセキュリティ対策の強化に向

けた取組は、諸外国でも現在進行中の取組であり、今後、我が国が米欧各国等との連携を強

化し、我が国の取組の国際標準への提案など、国際ハーモナイゼーションの確保を視野に入

れた取組を進めていくことができれば、サイバーセキュリティ対策のルール形成への関与

から世界を牽引できる可能性があると考えられる。

経済産業省では、2018 年 2 月より「産業サイバーセキュリティ研究会」の下に設置した

WG1（制度・技術・標準化）において「Society 5.0」、「Connected Industries」におけるサプ

ライチェーン全体のサイバーセキュリティ確保を目的として、サイバー・フィジカル・セキ

ュリティ対策の枠組みに関する検討を行い、その対応指針を「サイバー・フィジカル・セキ

ュリティ対策フレームワーク（案）」（以下、「対策フレームワーク」という。）として整

理を進めている。本取組は諸外国の既存の取組を参考にしながら、国際ハーモナイゼーショ

ンの確保を意識して策定を進めているが、今後、サイバーセキュリティ対策のルール形成を

牽引していく上でも、対策フレームワークの国際標準化も視野に入れた取り組みを推進す

る必要がある。

1 NIST が発行する SP 800 シリーズのうち、非政府機関の情報システム等における CUI（Controlled

Unclassified Information：管理対象となるが秘密指定されていない情報）の保護を目的としたサイバーセキ

ュリティ対策要件に関する文書。

7

1.2 目的

本調査は、サプライチェーン全体のサイバーセキュリティ確保に求められるリスク管理、

リスク評価、セキュリティ対策に関する、諸外国の政府又は政府関連機関（以下、「諸外国

の公的機関」という。）、業界団体の取組状況や標準化機関における標準化の動向等を調査

し、WG1 で検討を進めている対策フレームワークに基づくサプライチェーン全体のサイバ

ーセキュリティ強化に求められる枠組みの国際標準化を推進するための課題を整理するこ

とを目的とする。

1.3 調査実施概要

調査目的を達成するために、以下の項目に関して調査を行った。

1. サプライチェーンのサイバーセキュリティ確保に必要な事項の標準化動向に関する

調査

2. 国際標準化戦略の検討

8

2. 標準化動向に関する調査

サプライチェーンのサイバーセキュリティ確保に関係するリスク評価、リスク管理、セキ

ュリティ対策、セキュリティ評価・認証等の各種手法・制度について、①諸外国の公的機関

の取組、②国際標準化機関における標準化動向をそれぞれ調査した。

2.1 諸外国の公的機関の取組

諸外国公的機関が策定した、あるいは運用している、サプライチェーンのサイバーセキュ

リティ確保を目的としたリスク評価、リスク管理、セキュリティ対策、セキュリティ評価・

認証等に関係するガイドライン、フレームワーク、政策文書等を調査した。また、調査した

政策文書等と、策定中の対策フレームワークにおける記載事項との対比を行った。

調査にあたっては、サイバーセキュリティ政策に対する大きな影響を与える NIST 及び

ENISA2の文書のうち、サプライチェーンセキュリティ又は IoT セキュリティに関するガイ

ド等を示している文書を中心に選定した。加えて、ASEAN 諸国からフレームワークの適用

先と考えられるシンガポール及びフィリピンにおけるサイバーセキュリティ政策文書を選

定した。調査を行ったガイドライン、フレームワーク、政策文書等は表 2-1 に示すとおりで

ある。

表 2-1 諸外国公的機関 調査文献一覧

項目 国（地域）・

発行組織 文献名（発行年） 概要

1

米国・NIST NIST SP 800-161:

Supply Chain Risk

Management Practices

for Federal Information

Systems and

Organizations（2015）

ICT 分野のサプライチェーン・リス

ク管理におけるセキュリティリスク

の特定、評価、及び緩和策に関する

ガイドラインであり、連邦機関のリ

スク管理活動との関連性も記載。

2

米国・NIST NISTIR 8228

(DRAFT) :

Considerations for

Managing Internet of

Things (IoT)

Cybersecurity and

Privacy Risks（2018）

連邦機関やその他の組織が、ライフ

サイクル全体を通して IoT デバイス

に関連するサイバーセキュリティ及

びプライバシーリスクをよりよく理

解し、管理可能となることを目的と

した文書。

3

EU・ENISA Good Practices for

Security of Internet of

Things in the context of

Smart Manufacturing

（2018）

IoT イノベーションの導入によって

促進された産業用システムに関連す

るセキュリティとプライバシーの課

題に取り組むことを目的とし、その

2 欧州ネットワーク・情報セキュリティ機関（European Network and Information Security Agency）の略で、

EU 加盟国及び欧州諸機関に対するアドバイスや提言を提供すると共に、欧州諸機関、EU 加盟国並びに民

間企業・産業関係者との連携を促進する機関。

9

項目 国（地域）・

発行組織 文献名（発行年） 概要

課題、脅威、リスク及び攻撃のシナ

リオをマッピングしつつ、Industry

4.0/スマート・マニュファクチュア

リングの枠組みで産業用 IoT（IIoT）

のセキュリティを確保するためのグ

ッドプラクティスを明記。

4

米国・NIST NIST SP 800-37 Rev.

2, Risk management

framework for

information systems

and organizations: A

system life cycle

approach for security

and privacy（2018）

リスク管理フレームワーク（RMF）

を情報システム及び組織に適用する

ためのガイドライン。RMF によっ

て、情報セキュリティの分類を含

む、セキュリティとプライバシーの

リスクを管理するための包括的かつ

構造化されたプロセスが提供され

る。

5

英国・NCSC3 Supply chain security

collection（2018）

組織がサプライチェーンの管理を実

施・維持することを支援するために

作成された一連の 12 原則。12 原則

はプロセス形式となっており、「リ

スクの理解」、「管理の確立」、

「対策の確認」、「継続的な改善」

の 4 つのセクションに基づき記載。

6

EU・ENISA Considerations on ICT

security certification in

EU（2017）

EU における ICT セキュリティ認証

に関するオンライン調査の調査結果

をまとめた資料。市場透明性を向上

させ、EU における ICT 製品及びサ

ービスのセキュリティに対する信頼

性を向上させる方策について、一般

的な認証の枠組みを支持する結果と

なった。

7

EU・ENISA Supply Chain Integrity:

An overview of the ICT

supply chain risks and

challenges, and vision

for the way forward

(2015)

ICT 分野におけるサプライチェー

ン・インテグリティを明確化し、そ

の脅威を検知・防止し、リスクを軽

減するための対策及び推奨施策を提

供。

8 シンガポール・ Singapore’s

Cybersecurity Strategy

サイバーセキュリティに対する国家

3 国家サイバーセキュリティセンター（National Cyber Security Centre）の略で、「国家サイバーセキュリ

ティ戦略 2016」に即して政府通信本部（GCHQ）傘下に設置されたサイバーセキュリティに関する機

関。民間や諸外国のカウンターパートと対外的な活動を行う部署の機能を一つに集約している。

10

項目 国（地域）・

発行組織 文献名（発行年） 概要

CSA4 （2016） のビジョン、目標、及び優先事項を

制定。この戦略により、統制の取れ

た行動を生み出し、レジリエントか

つ信頼できるサイバー環境のための

国際的なパートナーシップを促進可

能。

9

フィリピン・

DICT5

National Cybersecurity

Plan 2022（2017）

国家の重要な情報構造や、公共及び

軍事の政府ネットワーク、中小企業

から大企業と、そのサプライチェー

ンを保護することを目的とした国家

全体の包括的なサイバーセキュリテ

ィ計画。

これらの文献のうち、

1. NIST: NIST SP 800-161: Supply Chain Risk Management Practices for Federal

Information Systems and Organizations

2. NIST: NISTIR 8228 (DRAFT): Considerations for Managing Internet of Things (IoT)

Cybersecurity and Privacy Risks

3. ENISA: Good Practices for Security of Internet of Things in the context of Smart

Manufacturing

の 3 つの文献については、対策フレームワークにおいてセキュリティ対策例を示した「添付

C 対策要件に応じたセキュリティ対策要件」との対比を行った。以降では各文献の調査・

整理結果を順に示す。

2.1.1 NIST: NIST SP 800-161: Supply Chain Risk Management Practices for Federal

Information Systems and Organizations

表 2-2 NIST SP 800-161 調査・整理結果

文書名（策定年） NIST SP 800-161: Supply Chain Risk Management Practices for Federal

Information Systems and Organizations（2015）

機関名 National Institute of Standards and Technology (NIST)

概要 政府機関の調達のさまざまな場面において、必要となるリスク管理プ

ロセスや、ICT サプライチェーン・リスクを軽減する管理策の実装につ

いて、セキュリティ管理策及びプライバシー管理策の観点から解説し、

サプライチェーンを構成する他組織のサプライヤーに対する要件を記

4 サイバーセキュリティ庁（Cyber Security Agency）の略で、国家全体のサイバーセキュリティ戦略、運

用、教育及びサイバーセキュリティ生態系の構築を担う。

5 情報通信技術省（Department of Information and Communications Technology）の略で、2016 年 6 月の「共

和法第 10844 号」に基づき設立された、ICT 関連の政策立案、ICT 利活用促進、ICT 関連法整備等を推進

する省である。

11

述している。また、様々なサイバー脅威から組織の機能や業務、資産等

を保護するためにプロセスを提示している。

アプローチ 本文書は、多層的なリスク管理のアプローチを行っている NIST SP

800-39 を踏襲している。加えて、NIST SP 800-53 Rev. 4 で記載された

ICT 分野のサプライチェーン・リスク管理関連の管理方法を他組織の

サプライヤーについて拡張し、新たな管理策を追加した文書となって

いる。本書ではまず、NIST SP 800-53 で記載された対策を抽出・分析

し、ICT 分野のサプライチェーン・リスク管理にどのように適用され

るかを議論している。次に、抽出された対策事項を踏まえ、サプライ

チェーン・リスク管理に関するすべての懸念事項に対処されているか

を確認するために、一連の管理方法と機能強化策を評価している。

NIST SP 800-53 Rev. 4 からの差分として、新たな管理策である

Provenance6及びいくつかの管理策が追加された。追加された項目は、

「来歴管理策」、「メンテナンス監視」、「耐タンパー性」である。

各セキュリティ要件は、管理策と保護的ガイダンスから構成されてお

り、上記の追加項目以外は NIST SP 800-53 Rev. 4 から抜粋した対策要

件を他組織のサプライヤーに対しても実施すべきと一部修正した要件

となっている。（番号で除外されている対策要件については、他組織の

サプライヤーに依存しない要件のため、本文書ではなく NIST SP 800-

53 Rev. 4 を参照する必要がある。）保護的ガイドラインとしては、各

ガイドラインを分類すると、「調達要件に含める」「契約条項・SLA を

締結する（誓約書を提出させる）」「協調・支援する」「検証する（技

術的な検証を含む）」「監視する」「監査する」「安全性が検証された

調達ルートを利用する」の要件に大まかに分けることができる。

対象読者 ICT 要素及びシステムのエンジニアや開発者、テスト、配備、保守及び

廃棄に携わる連邦機関の担当者。

適用範囲 政府調達に関わる ICT 要素、特に展開・開発・テスト・保持・廃棄さ

れるハードウェア、ソフトウェア及びプロセスと、組織内部の人員や統

制を対象とする。ただし、組織全体のシステムや人員を対象とするわけ

ではなく、情報システム開発のライフサイクルに関わらないテクノロ

ジーや人員については除外している。

他の文書との関

係

本文書は、多層的なリスク管理のアプローチを行っている NIST SP 800-

39 を改良したものであり、NIST SP 800-53 Rev. 4 によって定義された

ICT 分野のサプライチェーン・リスク管理の管理方法を含んだ文書で

ある。

法制度や規制と

の関係

CNSS7 Directive 505 は、サプライチェーン・リスク管理に関連する課

題に対処し、米国政府が National Security Systems のためのサプライチ

ェーン・リスク管理機能を実施・維持するための要件を規定している。

6 「来歴管理」の意味。システムや要素の開始段階の記録とその変更の記録、及び誰が変更を行ったかを

記録することを本書ではまとめて Provenance と記載している。

7 Committee on National Security Systems の略で、国防総省など関係機関の代表からなる委員会。

12

活用状況 NIST SP 800 シリーズであるため、連邦政府がセキュリティ対策を実施

する際に参考文献として使用されている。民間企業においても、いくつ

かの企業（Dell8、Intel9、Cisco10、FireEye11等）が自社のサプライチェー

ンの安全性や管理方法を説明する文書において、本文献を参照してい

る。

調査した結果に基づき、「添付 C 対策要件に応じたセキュリティ対策要件」との対比を

行った。この結果は別紙 1 に示す。なお、対比を行った結果、対策フレームワークとの堆肥

が取れない項目（対応する対策要件が添付 C に存在しない項目）は以下のとおりであった。

AU-10 否認防止、AU-10(1) 否認防止：ID の関連付け、AU-10(2) 否認防止：情報生産

者 ID の結びつけ、AU-10(3) 否認防止：管理の連鎖

AU-16 組織横断的監査、AU-16(2) 組織横断的監査：監査情報の共有

CA-2(3) セキュリティ評価：外部組織

CA-3(3) 情報システム相互接続：非国家安全保障システムへの接続、CA-3(4) 情報シス

テム相互接続：パブリックネットワークへの接続

CA-5 アクションプランとマイルストーン

CM-2(6) ベースライン構成の確立：開発とテスト環境

CM-8(4) 情報システム要素の在庫管理：会計情報、CM-8(8) 情報システム要素の在庫

管理：自動位置追跡

CM-8(9) 情報システム要素の在庫管理：システムへの要素の割り当て

CM-10 ソフトウェア使用期限

CP-2(2) コンティンジェンシープラン：キャパシティ計画、CP-2(7) コンティンジェン

シープラン：外部サービスプロバイダーとの協調

MP-1 メディア保護方針及び手順

MP-5 メディア輸送の管理

PE-17 代替作業場所

PE-18 情報システム要素の場所

PE-20 資産監視及び追跡

PL-2(3) システムセキュリティ計画：他の団体との計画・調整

PM-3 情報セキュリティ投資管理

PV-1 来歴管理の方針及び手続き12

PV-2 来歴管理記録とベースラインの開発

8 https://i.dell.com/sites/csdocuments/CorpComm_Docs/en/supply-chain-assurance.pdf 9 https://www.nist.gov/sites/default/files/documents/itl/csd/NIST_USRP-Intel-Case-Study.pdf 10 https://www.nist.gov/sites/default/files/documents/itl/csd/NIST_USRP-Cisco-Cyber-SCRM-Case-Study.pdf 11 https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-best-practices-in-cyber-

supply-chain-risk-management.pdf 12 来歴管理の要件については、現行フレームワークで変更管理に関する文書化などは規定されているが、

PV-1 や PV-2 のガイダンスで規定されている組織間でのコンポーネント保管履歴の追跡や、組織間での責

任移管のプロセス、トレーサビリティを補償するためのリアルタイムの変更情報収集については規定され

ていない。

13

SA-9(5) 外部情報システム：処理、保管及びサービス場所

SA-10 開発者構成管理

SA-12(5) サプライチェーン保護：損害の制限、SA-12(9) サプライチェーン保護：運用

の安全性

SA-15(3) 開発プロセス、標準及びツール

SA-16 開発者によって提供された訓練

SA-17 開発者のセキュリティアーキテクチャ及び設計

SA-18(3) 耐タンパー性及び検出：返品規則

SA-20 重要な部品の受託開発

SA-21 開発者のスクリーニング、SA-21(1) 開発者のスクリーニング：審査の検証

SA-22 サポートされていないシステム要素、SA-22(1) サポートされていないシステム

要素：断続的なサポートのための代替リソース

SC-18 モバイルコード、SC-18 モバイルコード：取得・開発・使用

SC-29 異種混合化

SC-30 隠蔽と誤認

SC-36 分散処理及び保管

SI-7(14) ソフトウェア、ファームウェア及び情報の完全性：バイナリ又はマシン実行可

能コード、SI-7(15) ソフトウェア、ファームウェア及び情報の完全性：コード認証

（注）太字の項目は、SP 800-53 Rev. 4 には存在せず SP 800-161 で追加された項目を示

す。

2.1.2 NIST: NISTIR 8228 (DRAFT): Considerations for Managing Internet of Things (IoT)

Cybersecurity and Privacy Risks

表 2-3 NISTIR 8228 (DRAFT) 調査・整理結果

文書名（策定年） NISTIR 8228 (DRAFT) : Considerations for Managing Internet of Things

(IoT) Cybersecurity and Privacy Risks（2018） 機関名 National Institute of Standards and Technology (NIST)

概要 連邦機関やその他の組織が、ライフサイクル全体を通して IoT デバイスに

関連するサイバーセキュリティ及びプライバシーリスクをよりよく理解

し、管理可能となることを目的とした文書。

アプローチ IoT デバイスのサイバーセキュリティ及びプライバシーリスクの管理に影

響する考慮事項を 3 つ定義し、それに対してどのような緩和策が考慮さ

れるかを検討している。その後、IoT デバイスを有する組織に対する推奨

事項として、どのようにサイバーセキュリティ及びプライバシーリスク

に対して緩和策を講じていくかを述べている。本書で議論している、サ

イバーセキュリティ及びプライバシーリスクの管理に影響する考慮事項

は以下のとおり： ⚫ 考慮事項 1: 実空間におけるデバイスの相互作用

（多くの IoT デバイスは、従来の IT デバイスと異なり、実空間と相

互作用をなしている）

14

⚫ 考慮事項 2: デバイスアクセス、管理及び監視の特徴

（多くの IoT デバイスでは、従来の IT デバイスと同様のアクセスや

管理、監視を行うことはできない）

⚫ 考慮事項 3: サイバーセキュリティ及びプライバシー機能の可用性、

効率性及び有効性

（IoT デバイスにおけるサイバーセキュリティ及びプライバシー機能

の可用性、効率性及び有効性は、従来の IT デバイスとは異なること

が多い）

また、以下のリスク緩和策を取ることをゴールとしている。 ⚫ デバイスセキュリティの保護

⚫ データセキュリティの保護

⚫ 個人のプライバシーの保護

対象読者 IoT デバイスのサイバーセキュリティ及びプライバシーリスクの管理に関

連する責任を負う連邦機関の担当者が主な対象読者。その他、NIST SP

800-181 で示された National Initiative for Cybersecurity Education（サイバー

セキュリティ教育のための国家構想）を参照すると、以下のカテゴリに

所属する、専門分野の人員に関連する内容である。 ⚫ 安全な設計（SP）、リスク管理（RSK）、システムアーキテクチャ

（ARC）、システム開発（SYS）

⚫ 運用・管理（OM）、データ管理（DTA）、ネットワークサービス

（NET）、システム管理（ADM）、システム解析（ANA）

⚫ 監督・ガバナンス（OV）、サイバーセキュリティ管理（MGT）、サ

イバーリーダーシップ（EXL）、プログラムマネジメント・プロジ

ェクトマネジメント（PMA）

⚫ 保護・防御（PR）、サイバーセキュリティ防御解析（CDA）、サイ

バーセキュリティ防御インフラサポート（INF）、インシデントレス

ポンス（CIR）、脆弱性評価・脆弱性管理（VAM）

⚫ 捜査（IN）、デジタルフォレンジック（FOR）

加えて、IoT デバイスの開発者及びインテグレーター。

適用範囲 IoT デバイス、データ、IoT デバイスの運用・管理・設計・開発に関わる人

員

他の文書との関

係

本文書は、多層的なリスク管理のアプローチを行っている NIST SP 800-

39 を改良したものであり、NIST SP 800-53 Rev. 4 によって定義された

ICT 分野のサプライチェーン・リスク管理の管理方法を含んだ文書で

ある。

法制度や規制と

の関係

法制度や規制との直接的な関係はない。

活用状況 現状ドラフト版であるため活用はほとんどされていないが、ENISA

“Good Practices for Security of Internet of Things in the context of Smart

Manufacturing”において NIST IR8228 の要件が参照されるなど、他の IoT

15

セキュリティ関連文書には影響を与えている。

調査した結果に基づき、「添付 C 対策要件に応じたセキュリティ対策要件」との対比を

行った。この結果は別紙 1 に示す。なお、対比を行った結果、対策フレームワークとの堆肥

が取れない項目（対応する対策要件が添付 C に存在しない項目）は以下のとおりであった。

期待事項 9: キーボードやタッチスクリーンなどでデバイスのパスワードを入力した際、

デバイスはディスプレイからパスワード文字を隠すことができる。

期待事項 23: 個々のデバイスとの連携を目的としたインタフェースが存在する。

2.1.3 ENISA: Good Practices for Security of Internet of Things in the context of Smart

Manufacturing

表 2-4 ENISA, Good Practices for Security of Internet of Things in the context of Smart

Manufacturing 調査・整理結果

文書名（策定年） Good Practices for Security of Internet of Things in the context of Smart

Manufacturing（2018）

機関名 European Union Agency for Network and Information Security (ENISA)

概要 IoT イノベーションの導入によって促進された産業用システムに関連

するセキュリティとプライバシーの課題に取り組むことを目的とし、

その課題、脅威、リスク及び攻撃のシナリオをマッピングしつつ、

Industry 4.0/スマート・マニュファクチュアリングの枠組みで産業用 IoT

（IIoT）のセキュリティを確保するためのグッドプラクティスを明記し

ている。

アプローチ まず、Industry 4.0 の概念とその構成要素を定義した後、対象とするス

マート・マニュファクチュアリングシステムに対する攻撃シナリオを

検討することで、そこ含まれる脅威とリスクを分析している。考えられ

るシナリオとしては、マルウェアやソーシャルエンジニアリング等の

一般的な情報セキュリティに関わる攻撃シナリオが検討されているほ

か、コントローラ（DCS や PLC）とアクチュエータ間のネットワーク

に関する攻撃やセンサに対する攻撃、IIoT ゲートウェイに対する攻撃

など IoT や制御システム固有の攻撃シナリオや、IoT ボットネットに対

する DDoS 攻撃や AI 技術を活用した攻撃についても検討されている。

このシナリオに基づき、セキュリティ対策要件及びそれに関するグッ

ドプラクティスを示している。

対象読者 IIoT デバイスやソリューションを採用している、もしくは採用する予

定の組織を対象としており、これには IIoT の通信事業者やベンダも含

まれるほか、IIoT の専門家、ソフトウェア開発者、デバイスメーカ、

IIoT の事業者及びユーザー、OT・IT セキュリティ専門家やソリューシ

ョンアーキテクト、Industry 4.0 組織のセキュリティ担当者（CISO 等）、

Industry 4.0 の国際組織及びセキュリティコミュニティのメンバ、学術

16

機関や研究開発機関も対象読者として含まれる。

適用範囲 IoT の導入は広範囲に及ぶため、本文書では IIoT とスマート・マニュ

ファクチュアリングにのみ焦点を当てている。ただし、これにも様々な

要素やテクノロジーが関係しているとしており、これを階層ごとに分

類し（図 2-1）、ベストプラクティスを議論している。

法制度や規制と

の関係

IoT を用いたデータ交換、処理、保存等については、プライバシー保護

と個人情報保護の観点から、EU の GDPR（一般データ保護規則）に準

拠する必要があるとしている。これは、スマート・マニュファクチュア

リングに関わる IoT デバイスのベンダ及び運用者を含むすべての組織

に適用される。

活用状況 発行からまだ間もなく、現状で主な活用事例は存在しない。ENISA は、

IoT 事業者がリスクアセスメントを実行する際に、脅威を識別するため

のオンラインツールを公開しており13、本文書を含む IoT に関連する下

記文書（スマートカー、スマート空港、スマートシティ、スマートホス

ピタル及び IoT のベースラインセキュリティ）の内容を含んでいる。

⚫ Cyber Security and Resilience of smart cars14

⚫ Securing Smart Airports15

⚫ Architecture model of the transport sector in Smart Cities16

⚫ Cyber security and resilience for Smart Hospitals17

⚫ Baseline Security Recommendations for IoT18

ENISA はこのツールを活用することで、Industry 4.0 の概念に照らし合

わせてセキュアな IoT ソリューションを実現するための最低限の推奨

事項を確認できるとしている。

（図出典）ENISA “Good Practices for Security of Internet of Things

13 https://www.enisa.europa.eu/iot-tool 14 https://www.enisa.europa.eu/publications/cyber-security-and-resilience-of-smart-cars 15 https://www.enisa.europa.eu/publications/securing-smart-airports 16 https://www.enisa.europa.eu/publications/smart-cities-architecture-model/ 17 https://www.enisa.europa.eu/publications/cyber-security-and-resilience-for-smart-hospitals/ 18 https://www.enisa.europa.eu/publications/baseline-security-recommendations-for-iot

17

in the context of Smart Manufacturing”

図 2-1 ENISA資料におけるスマート・マニュファクチュアリングの階層分類

調査した結果に基づき、「添付 C 対策要件に応じたセキュリティ対策要件」との対比を

行った。この結果は別紙 1 に示す。なお、対比を行った結果、対策フレームワークとの堆肥

が取れない項目（対応する対策要件が添付 C に存在しない項目）は以下のとおりであった。

PS-15：専用管理ネットワークとセキュリティデバイスの管理による、資産の安全な管理

を検討する。

OP-05：プロジェクト実施プロセスの引き継ぎ段階で、すべてのサイバーセキュリティの

文書、プロセス及び手順を適切に構築し引き継ぐ。

OP-09：コンプライアンス強化管理を、確立されたセキュリティアーキテクチャに統合し、

すべての製品がその中で定義されている要件を満たしていることを確認する。

OP-18：OT 部門と IT 部門の緊密な連携を確立して、システムビジネスの所有者、意思決

定機関及びその他の利害関係者との連携も同様に効果的になるようにする。

OP-21：セキュリティトレーニングが継続的、定期的、そして頻繁に更新されるようにす

る。

TM-03：IIoT デバイス間のデータ交換チャンネルをホワイトリストの形式で定義し、可能

な限り安全なチャンネルのみを選択する。

TM-04：アプリケーションホワイトリストを実装し、少なくとも年 1 回、システムに変更

があった場合にはリストを確認する。

TM-07：クラウドの種類の選択に関する決定は、クラウドセキュリティプロバイダの国に

適用される法律及び規制や在留資格の点も考慮に入れ、ビジネス及びプライバシーへの

影響に基づいて決定する。

TM-08：必要に応じて、クラウドセキュリティプロバイダとの契約にセキュリティと可用

性の側面を含める。

TM-09：クラウドベースのアプリケーションと集中型システムの枠組みでは、単一障害点

を避ける。

TM-10：プライベートクラウド又は少なくともハイブリッド展開モデル内で重要なシス

テムとアプリケーションを見つけ、パブリッククラウドの利用を検討している場合は実

装前にリスク分析を行う。

TM-11：クラウド攻撃に関連するリスクを軽減するために、既存知識に依存しないアプロ

ーチを採用し、クラウド内及び転送中のすべてのデータを保護する。

TM-17：目標復旧時間（RTO）、目標復旧時点（RPO）、最大許容停止時間（MTO）、最

小事業継続目標（MBCO）など、組織の事業継続に関する重要なパラメータを定義する。

TM-18：インフラストラクチャ機器に常駐するサーバの HSM (Hardware Security Module)

に、公開鍵以外の暗号鍵を格納する。

TM-21：クロスサイトスクリプティング及びコマンドインジェクションから保護するた

めに、入力検証を使用する。

TM-30：第三者がパッチをテストし、デバイスに悪影響を及ぼさないことを保証すること

18

ができる場合、又は該当する契約に従って更新に対する責任を負う場合にのみ、パッチの

適用を許可する。

TM-31：更新できない制御システムの場合は、補償措置を適用する。

TM-37：可能であれば、すべてのユーザーに対して個別のアカウントを作成する。

TM-39：多数のデバイスを含む大規模で多様なネットワークの場合は、特権アクセス管理

（PAM）ソリューションを採用する。

TM-43：互いに通信するだけでセグメント間のネットワークトラフィックを制御する単一

のネットワーク内に小さなコンポーネントの集合を構築するという、マイクロセグメン

テーションのアプローチに従う。

TM-46：同じシステム内の複数デバイスに異なるプロトコルを実装するとき、セキュリテ

ィ機能とプロトコル間の相互運用性を確保する。

TM-48：鍵交換と鍵管理のための安全な環境を確保し、複数のデバイス間で暗号鍵を共有

することを避ける。

TM-58：IIoT ソリューションを強化することを変更管理ポリシーに含める。

（注）太字の項目は、対応する対策要件がないと考えた根拠に該当する記述を表す。

2.1.4 NIST: NIST SP 800-37 Rev. 2, Risk management framework for information systems

and organizations: A system life cycle approach for security and privacy

表 2-5 NIST SP 800-37 Rev. 2 調査・整理結果

文書名（策定年） NIST SP 800-37 Rev. 2, Risk management framework for information

systems and organizations: A system life cycle approach for security and

privacy（2018）

発行機関名 National Institute of Standards and Technology（NIST）

目的 ⚫ システム関連のセキュリティとプライバシーリスクの管理が、組

織の使命、事業目的及びリスク管理者を通じてリスク管理戦略と

一致することを保証するため

⚫ 適切なリスク対応戦略の実施を通じて、個人のプライバシー保護

と情報システムのセキュリティ保護を達成するため

⚫ 情報セキュリティとプライバシーの透明性とトレーサビリティを

サポートするため

⚫ 情報セキュリティとプライバシーの要件や管理を、設計プロセ

ス、ライフサイクルプロセス及びシステムエンジニアリングプロ

セスに統合することを促進するため

⚫ 連邦機関内の重要インフラサイバーセキュリティを改善するため

の NIST Cybersecurity Framework（NIST CSF）の実施を促進する

ため

概要 リスク管理フレームワーク（RMF）を情報システム及び組織に適用す

るためのガイドライン。RMF によって、情報セキュリティの分類を

含む、セキュリティとプライバシーのリスクを管理するための包括的

19

かつ構造化されたプロセスが提供される。Rev. 1 の文書タイトルから

Federal の単語が削除された一方で、Privacy の文言が追加された。ま

た、リスク管理のプロセスとして「準備（Prepare）」のプロセスが追

加され計 7 ステップとなったほか、情報やプライバシーの一連の段階

を記述する新たな RMF タスク「情報ライフサイクル」の追加、

Supply Chain Risk Management という節が追加され、サプライチェー

ン全体のリスク管理方針の策定が追加された点が変更点として挙げら

れる。Rev. 1 から変更を行った目的として、以下の 7 つの目的が明記

されている。 ⚫ 組織の経営幹部又はガバナンスレベルでのリスク管理プロセス及

びリスク管理活動と、組織のシステムや個人、プロセスとの密接

な関連付け及びコミュニケーションを提供すること。

⚫ RMF のより効率的で費用効果の高い実行を促進するために、す

べてのリスク管理レベルでリスク管理準備活動を制度化するこ

と。

⚫ NIST CSF と RMF とを整合させ、さまざまな RMF ステップ及び

アクティビティ内で CSF の「マッピング」を提供することによっ

て、RMF と NIST CSF との対応を取ること。

⚫ プライバシーリスク管理の概念を RMF ライフサイクルに統合

し、NIST SP 800-53 Rev. 5 に記述されたサイバーセキュリティ及

びプライバシー管理のカタログの使用も推奨すること。

⚫ NIST SP 800-160 Rev. 1 のライフサイクルベースのシステムエンジ

ニアリングプロセスを RMF の関連タスクと整合させることで、

信頼性の高い安全なソフトウェア及びシステムの開発を促進する

こと。

⚫ セキュリティ関連のサプライチェーン・リスク管理（SCRM）の

概念を RMF に統合して、信頼できないサプライヤー、偽造品の

挿入、改ざん、不正製造、盗難、悪意のあるコードの挿入、シス

テム開発ライフサイクル全体での不適切な製造及び開発方法に対

処すること。

⚫ NIST SP 800-53 Rev. 5 の統合管理カタログの使用を可能にするこ

と。

アプローチ リスク管理は 3 層（第 1 層：組織（ガバナンス）、第 2 層：任務/業務

プロセス（情報及び情報フロー）、第 3 層：情報システム（運用環境））

において実施され、各層は連絡や共有を行う。RMF は主にリスク管理

階層における第 3 層で機能するが、第 1 層と第 2 層においても、情報

のやりとりが行われることがある。RMF のステップは、準備、分類、

選択、実施、アセスメント、運用認可、監視のステップで行われる。な

お、サプライチェーンのリスク管理についての戦略策定においては、

20

NIST SP 800-161 を参照するよう記載されている。

適用範囲 外部サプライヤーからのコンポーネント製品、システム及びサービス

を含むサプライチェーン内の開発・製造・統合・展開の一連のプロセス

を対象としている。

文書の強制力 組織は SCRM 戦略の詳細を文書化する方法に柔軟性を有しているとし

ている。具体的には、第 1 層（組織）及び第 2 層（任務/業務プロセス）

の SCRM 戦略は、組織の情報セキュリティプログラム計画又は任務/業

務プロセスに基づき SCRM 戦略で文書化することができる。第 3 層（情

報システム）の SCRM 計画の詳細は、情報システムセキュリティ計画

又は個別のシステム毎に文書化可能である。戦略策定については、NIST

SP 800-161 で示された、“ICT SCRM Plan Template”の使用を推奨してい

る。

対策フレームワ

ークとの相違

点・類似点

⚫ 産業制御システム、サイバーフィジカルシステム、IoT 等のシス

テムについても、個別のリスク管理プロセスではなく、一連のリ

スク管理プロセスによって実装すべきであるとしており、サイバ

ー空間とフィジカル空間との転写の概念（第 2 層）も包括されて

いる。

⚫ 他サプライヤーに対する言及が多く、他サプライヤーに対する要

求事項やリスク管理の観点は対応フレームワークの記載と類似し

ている。

法制度や規制と

の関係

2016 年 7 月に米国行政管理予算局（OMB）の Circular A-130（「連邦情

報資源の管理」）が改訂され、プライバシー責任やサプライチェーンセ

キュリティリスクを検討することが含まれたほか、国防総省、国家情報

長官室及び CNSS（国家安全保障システム委員会）と連携して、情報セ

キュリティの改善とリスク管理プロセス強化、組織間の相互関係を促

進する必要があったため改訂が行われた。本改訂版は、NIST CSF を連

邦情報セキュリティ管理法（FISMA）に定められているセキュリティ

評価指標を基に評価することを主な目的としている。

活用状況 NIST SP 800 シリーズであるため、連邦政府がセキュリティ対策を実施

する際に参考文献として使用されている。他の NIST SP 800 シリーズ

（NIST SP 800-63 等）においても本文書を活用したリスク管理を行う

べきとの記載がなされている。

2.1.5 NCSC: Supply chain security collection

表 2-6 NCSC, Supply chain security collection 調査・整理結果

文書名（策定年） Supply chain security collection（2018）

発行機関名 National Cyber Security Centre（NSCS）

背景 多くの組織の製品、システム及びサービスのセキュリティはサプライ

21

ヤーに依存しており、サプライチェーンのセキュリティを組織が確保

することは困難かつ複雑となる。事実、政府の実施した 2016 年の調査

（Cyber Security Breaches Survey）によれば、サプライヤーに対して最

低限のセキュリティ基準を設定している英国企業は殆ど存在しなかっ

た。

目的 ⚫ 組織がサプライチェーンの管理を実施・維持することを支援する

ため

概要 組織がサプライチェーンの管理を実施・維持することを支援するため

に作成された一連の 12 原則。12 原則はプロセス形式となっており、

「リスクの理解」、「管理の確立」、「対策の確認」、「継続的な改

善」の 4 つのセクションに基づき記載。加えて、サプライチェーンに

対する攻撃の例が紹介されているほか、サプライチェーンにおけるセ

キュリティ要件が設定できるかどうかを確認する 4 つのケーススタデ

ィが記載されている。具体的な攻撃例は以下の 4 つ。 ⚫ 第三者のソフトウェアベンダ：攻撃者がソフトウェアベンダのサ

ービスに対してマルウェアを挿入し、当該ベンダの製品を自組織

ICS にインストールする

⚫ 第三者のウェブサービス提供者：攻撃者がウェブサービス提供者

のサービスに対して悪意ある転送設定を行い、当該提供者サービ

スを通じて自組織ウェブサイトに侵入される

⚫ 第三者のデータストレージ：攻撃者がデータストレージサービス

のバックドアから侵入を行い、自組織のデータが搾取される

⚫ 水飲み場型攻撃：攻撃者がメインターゲットとなるセキュリティ

の弱点を突き、その影響により自組織のサービスが影響を受ける

アプローチ 12 原則はプロセス形式となっており、「リスクの理解」、「管理の確

立」、「対策の確認」、「継続的な改善」の 4 つのセクションに基づ

き記載されている。各プロセスにおける原則は以下のとおり。 1. リスクの理解：「①保護する必要のあるモノやサービスとその理

由を理解する」、「②サプライヤーを知り、そのセキュリティ度

合いを理解する」、「③サプライチェーンによってもたらされる

セキュリティリスクを理解する」

2. 管理の確立：「④セキュリティニーズについての見解をサプライ

ヤーに伝える」、「⑤サプライヤーの最低限のセキュリティ要件

を設定し、伝達する」、「⑥契約プロセスにセキュリティ考慮事

項を構築し、サプライヤーに対しても同様の内容を要求する」、

「⑦サプライヤー・コンシューマーとしての組織自身のセキュリ

ティ責任を果たす」、「⑧サプライチェーン内のセキュリティ意

識を高める」、「⑨セキュリティ問題への支援を提供する」

22

3. 対策の確認：「⑩サプライチェーンマネジメントに保証活動を組

み入れる」

継続的な改善：「⑪サプライチェーン内でセキュリティの継続的向上を

奨励する」、「⑫サプライヤーとの信頼関係を構築する」

適用範囲 他サプライヤーに依存する可能性のある製品、システム及びサービス

を対象としている。

文書の強制力 組織に対する強制力はない。ただし、これらの原則を実行するための投

資には価値があるとし、これらの原則を思考することによりレジリエ

ンス向上と被害及び混乱を減少させるとしている。加えて、GDPR への

準拠を証明することにも役立つほか、証明されたサプライチェーンの

安全性への信頼性によって、新たなビジネス契約を獲得することに役

立つとしている。

対策フレームワ

ークとの相違

点・類似点

⚫ 「他サプライヤーへのセキュリティリスクを確認する」や「セキ

ュリティ要求事項を、サプライヤーに対しても要求する」等の、

他サプライヤーに対する言及が多く、他サプライヤーに対する要

求事項は対応フレームワークの記載と類似している。

⚫ 組織要件が中心であるため、技術的要件の記載は殆ど無いことが

フレームワークとの大きな違いである。

法制度や規制と

の関係

法制度や規制との直接的な関係はないが、本基準を準拠することで、

GDPR への準拠を証明することに役立つとしている。

活用状況 現状で主な活用事例は存在しない。本ガイダンスは、高い保証要件を有

する国家規模のサプライチェーン要件を提示しているわけではなく、

民間企業等の組織に意識向上を目的とした基礎的なレベルの要件を提

示しており、広範囲の組織に対して本文書に基づくセキュリティ意識

向上が望まれる。

2.1.6 ENISA: Considerations on ICT security certification in EU

表 2-7 ENISA, Considerations on ICT security certification in EU 調査・整理結果

文書名（策定年） Considerations on ICT security certification in EU（2017）

発行機関名 European Union Agency for Network and Information Security (ENISA)

目的 ⚫ ICT セキュリティ製品及びサービスの認証に関する方法を特定す

るため

⚫ 競争を促進するほか、認証業務の相互承認や調和を一定レベルま

で促進するため

⚫ ICT セキュリティ認証に関する調査結果を通じて、現在 EC で想

定されている政策に対して適切なフィードバックを行うため

概要 EU における ICT セキュリティ認証に関するオンライン調査の調査結

果をまとめた資料。オンライン調査は 14 の質問からなり、その大部

23

分は複数回答可能な設問であり、それに加えてコメントの記載を依頼

した。回答組織は 33 組織。調査結果を分析すると、市場透明性を向

上させ、EU における ICT 製品及びサービスのセキュリティに対する

信頼性を向上させる方策について、一般的な認証の枠組みを支持する

結果となった。

アプローチ 主に ICT セキュリティ製品及びサービス認証に関する意識や現状につ

いて調査。「すべての EU 加盟国に共通する相互の ICT セキュリティ

認証メカニズムが必要か」という質問に対して「はい」と答えた回答者

は 30/33、「認証によって市場透明性が向上し、セキュリティに対する

信頼性向上につながる」という質問に対して「同意する」と答えた回答

者は 26/33、「IoT 分野において ICT セキュリティ認証が必要か」とい

う質問に対して「はい」と答えた回答者は 25/33、「ICS 分野において

ICT セキュリティ認証が必要か」という質問に対して「はい」と答えた

回答者は 22/33 と、ICT セキュリティ認証の必要性が確認された。

適用範囲 対象としている ICT コンポーネントは、ソフトウェア、ハードウェア

及び関連するサービスを含む。

文書の強制力 強制力はない。

対策フレームワ

ークとの相違

点・類似点

調査結果であるため、フレームワークとの大きな類似点は存在しない

が、設問によって認証制度の必要性が明確になったことが確認でき

る。

法制度や規制と

の関係

2016 年に欧州委員会（EC）は欧州における ICT セキュリティ認証フレ

ームワーク作成の必要性を通達（COM(2016) 410: Strengthening Europe‘s

Cyber Resilience System and Fostering a Competitive and Innovative

Cybersecurity Industry）によって示した。また、ENISA は ICT セキュリ

ティ製品の認証を EC 及び EU 加盟国に対して支援し、EC はこの支援

に基づき認証に関する暫定的な政策を打ち出した。

活用状況 本調査結果により、EU におけるサイバーセキュリティ認証制度の必要

性が明確となった。

2.1.7 ENISA: Supply Chain Integrity: An overview of the ICT supply chain risks and

challenges, and vision for the way forward

表 2-8 ENISA, Supply Chain Integrity: An overview of the ICT supply chain risks and

challenges, and vision for the way forward 調査・整理結果

文書名（策定年） Supply Chain Integrity: An overview of the ICT supply chain risks and

challenges, and vision for the way forward (2015)

発行機関名 European Union Agency for Network and Information Security (ENISA)

背景 ICT 分野におけるサプライチェーンの完全性は、サプライチェーン管

理の幅広い見直しの一環として、官と民（例：ベンダ、重要インフラ所

有者・運用管理者など）両方から注目を集めており、サプライチェーン

24

への理解は事業の成功や国家の経済成長に不可欠な要因のひとつであ

るため、その中でも完全性を確立することはサプライチェーンの管理

のための重要である。

目的 ⚫ サプライチェーンの完全性に関する脅威、リスク及び対策を特定

すること

⚫ 信頼できないサプライヤーから提供される製品及びサービスの取

り扱いに関する一般的な助言を提供すること

概要 ICT 分野におけるサプライチェーンの完全性を明確化し、その脅威を

検知・防止し、リスクを軽減するための対策及び推奨施策を提供。こ

れらの要件は机上調査や国内機関・業界団体へのヒアリングを通じて

調査・分析された。リスクや脅威、対策を通じて、信頼できないサプ

ライヤーから提供される製品及びサービスの取り扱いに関する一般的

な助言を提供する。なお、ICT 分野は非常に幅広いため、本ガイドで

は電気通信業界をモデルとして分析を行っている。ICT サプライチェ

ーンの完全性向上への課題として、検証や計測を行うためのガイドラ

インが欠如していること、統計的な信頼基準や IT 生態系全体の整合

性を検証するのに役立つツール・プロセスが存在しないことなどが記

載されている。

アプローチ 検討するサプライチェーンの構造として、サプライヤーが鎖状につな

がったシンプルなサプライチェーンにだけでなく、各サプライヤーの

元にそれぞれ別のサプライチェーンが存在する「魚の骨状」のサプライ

チェーンを考慮している。扱うサイバーセキュリティリスク管理の領

域としてはライフサイクルに則ったマネジメントとなっており、第一

のライフサイクルプロセスとして「取得プロセス」、「供給プロセス」、

「開発プロセス」、「運用プロセス」、「メンテナンスプロセス」を考

慮し、保護的なライフサイクルプロセスとして「監査プロセス」、「構

成管理」、「共同レビュープロセス」、「文書化プロセス」、「品質保

証プロセス」、「問題解決プロセス」、「実証プロセス」、「検証プロ

セス」を考慮し、組織的プロセスとして「マネジメントプロセス」、「イ

ンフラプロセス」、「改善プロセス」、「訓練プロセス」が検討されて

いる。

適用範囲 サプライチェーンを「サプライヤー及び生産者から顧客へ提供される

製品やサービスに係る組織、人、技術、活動、情報及び資源全体のシス

テム」と定義し、サプライチェーンの完全性を「サプライチェーンの運

用に関連するグッドプラクティス及び仕様への準拠性」と定義してい

る。

文書の強制力 強制力はない。欧州の調達プロセスに直接適用される情報は提供され

ない、と記載されている。

25

対策フレームワ

ークとの相違

点・類似点

⚫ サプライチェーンの信頼性（Trust）を確保するという目的の親和

性は高い。また、様々なプロセス/プロシージャの確立や、サプラ

イヤー及びその製品やデータの完全性を確保する必要性を述べて

おり、構成要素の一部は類似している。

⚫ 一方で、検討しているサプライチェーンの形式が「鎖型」/「魚の

骨上」であるため、組織のつながりのみを考えた 2 次元のサプラ

イチェーンであり、サイバー空間におけるデータのつながりや、

サイバー空間とフィジカル空間との転写の概念は考慮されていな

い。

法制度や規制と

の関係

EU における法制度や規制との直接的な関係はない。

活用状況 本文書で検討されているサプライチェーンの構造や考え方について、

多くの企業（Huawei19等）でサプライチェーン・リスクを検討する際の

前提として引用されている。

2.1.8 CSA: Singapore’s Cybersecurity Strategy

表 2-9 CSA, Singapore’s Cybersecurity Strategy 調査・整理結果

文書名（策定年） Singapore‘s Cybersecurity Strategy（2016）

発行機関名 Cyber Security Agency of Singapore (CSA)

目的 ⚫ 強靭かつ高信頼なサイバー環境の構築

概要 サイバーセキュリティに対する国家のビジョン、目標、及び優先事項

を制定。この戦略により、統制の取れた行動を生み出し、レジリエン

スかつ信頼できるサイバー環境のための国際的なパートナーシップを

促進可能であるとしている。この戦略は以下の 4 つの柱によって構成

される。 ⚫ 重要情報インフラのレジリエンスを強化する

⚫ サイバー脅威への対応、サイバー犯罪との戦い及び個人データ

の保護によって企業やコミュニティを結集し、サイバー空間を

より安全とする

⚫ サイバーセキュリティニーズをサポートし、新たな経済成長の

源となるよう、熟練した労働力、最先端技術を有する企業及び

強力な共同研究からなるサイバーセキュリティ生態系を構築す

る

⚫ 強力な国際的パートナーシップを築く

国際的パートナーシップの部分では、情報セキュリティに関するアジ

ア太平洋地域を代表する会議であり日本も参画している RSAC APJ

19 https://www-file.huawei.com/-/media/corporate/pdf/cyber-security/the-global-cyber-security-challenge-en.pdf

26

（RSA Conference Asia Pacific and Japan）の実施についても一例として

挙げられている。

アプローチ 政府は以下のようなアプローチによって戦略を推進するとしている。 ⚫ サイバーセキュリティの問題をサプライチェーンに沿って解決す

る目的で、セキュリティ・バイ・デザイン（企画・設計段階から

セキュリティを確保する方策）の採用を拡大する。

⚫ サイバー脅威に対する対応能力を強化する目的で SingCERT によ

るサイバー演習を実施し、重要セクターにおける災害復旧計画

（DRP）と事業継続計画（BCP）を強化する。

⚫ サイバーセキュリティガバナンスと法的枠組みを強化する。具体

的には CSA とインシデント発生組織が緊密に協力し、タイムリ

ーにインシデント対応策を指示する。

⚫ 政府システムをよりセキュアにするために、政府の ICT 予算の内

8%をサイバーセキュリティに分配する。

⚫ 国家サイバー犯罪行動計画を通じてサイバー犯罪の捜査及びサイ

バー犯罪者の起訴を支援する。

⚫ 国際的なネットワークハブとしての地位を高めるために、グロー

バル機関やインターネットサービスプロバイダーと協力し悪意あ

るトラフィックを減少する。

⚫ サイバーセキュリティの情報を常に入手・発信することで、サイ

バーセキュリティに対する集団的責任を推進する。

⚫ セキュリティ専門家のキャリアパス定義や資格認定の推進を行う

ことで、セキュリティ人材を確保する。

⚫ シンガポール製ソリューションを市場に提供するための市場機会

を開拓し、国際的な優位性を拡大する。

⚫ 研究開発施設や才能開発プログラムを通じて産学官の研究開発協

力を推進し、セキュリティ業界の成長を加速させる。

⚫ サイバー脅威やサイバー犯罪に対抗するために、国際的及び

ASEAN との協力を強化する。

⚫ 各国政府と協力して、セキュリティ運用や技術、立法、政策、外

交に関連するワークショップや会議を開催し、国際的なイニシア

チブを構築する。

⚫ 国際的な交流を通じて、サイバーセキュリティの規範や法律に関

する意見交換を行う。

適用範囲 本戦略で対象としている重要情報インフラは、行政サービス、緊急サー

ビス、医療、メディア、金融、電力、水道、情報通信、海運、航空、鉄

道を指す。

文書の強制力 戦略文書であるため強制力はない。

27

対策フレームワ

ークとの相違

点・類似点

⚫ サプライチェーンセキュリティを確保するために、セキュリテ

ィ・バイ・デザインを採用することの必要性を掲げている点はフ

レームワークの考えに類似している。また、戦略の中で国際的交

流を促進しており、フレームワークにおけるグローバルハーモナ

イゼーションの実現に関連する文書である。

法制度や規制と

の関係

2009 年にシンガポール情報通信技術セキュリティ庁（SISTA）が設立

され、大規模サイバー攻撃をはじめとする重要情報インフラに対する

国家レベルの対応を調整する仕組みが整い、2015 年にはナショナルサ

ート（SingCERT）機能などを備えた CSA が国家のサイバーセキュリテ

ィのあらゆる側面を調整するための中央機関として設立された。2016

年には、内務省によって発行された国家サイバー犯罪行動計画によっ

て、サイバー犯罪からの防衛策や国内外とのパートナーシップが謳わ

れた。

活用状況 本戦略に基づき、2017 年度のサイバーセキュリティに投じられた予算

は約 140 万 USD（日本円で約 150 億円）であった。また、本戦略に則

り、サイバーセキュリティを確保する観点から、公務員が職場の PC か

らインターネットアクセスを行うことを原則禁止している。

2.1.9 DICT: National Cybersecurity Plan 2022

表 2-10 DICT, National Cybersecurity Plan 2022調査・整理結果

文書名（策定年） National Cybersecurity Plan 2022（2017）

発行機関名 Department of Information and Communications Technology (DICT)

目的 ⚫ 国家の重要な情報構造や公的及び軍事的ネットワークの継続的な

運営を保証すること

⚫ 攻撃前、攻撃中及び攻撃後の脅威への対応能力を高めるためのサ

イバーレジリエンスの強化

⚫ 法執行機関との効果的な調整

⚫ サイバーセキュリティ教育の推進

概要 国家の重要な情報構造や、公共及び軍事の政府ネットワーク、中小企

業から大企業と、そのサプライチェーンを保護することを目的とした

国家全体の包括的なサイバーセキュリティ計画である。ICT 部門を統

制し規制する機関を監視し、消費者保護と福祉、データのプライバシ

ーとセキュリティ保護、競争の促進及び ICT 部門の成長を確実にす

る。本計画は政府、公的及び企業の重要情報インフラを保護するため

の設計図となりうるとしている。

アプローチ 本計画では以下のようなアプローチが推進される。

28

⚫ 重要情報インフラのレジリエンスを確立するためのセキュリティ

アセスメント及びセキュリティ規則を策定する。

⚫ アセスメント及び規則策定後にセキュリティの発展を維持するた

めにサイバー演習を実施する。

⚫ R&D や政策アップデート、脅威分析等に用いるために、脅威モ

ニタリングやレポートに関する国家データベースを構築する。

⚫ 公的機関を保護するための国家の Computer Emergency Response

プログラムを策定する。

⚫ サイバーセキュリティ戦略を効率的に実装するために、政府機関

に CISO プログラムを設置する。

⚫ ナショナルサートや政府サート、軍事サート等によって構成され

る包括的な Computer Emergency Response 構造体を構築し、タイ

ムリーな協力や調整を行う。

⚫ サイバー脅威に対抗するための能力開発支援プログラムを策定す

る。

⚫ 情報セキュリティ及びサイバーセキュリティの専門家を養成する

ためのサイバー訓練施設の設立や訓練プログラムの策定を行う。

⚫ サイバー脅威事例を活用し対策を講じるための脅威情報分析プラ

ットフォームを設立する。

⚫ 電子政府トラフィック保護のための政策を支援する。

⚫ サプライチェーン保護のための国家によるコモンクライテリア及

び認証プログラムを導入する。

⚫ 脅威を特定するために、保護するべき組織のミッションクリティ

カルリソースに関するビジネスコンテストを開催する。

適用範囲 本計画は、国家の重要な情報構造、公共・軍事の政府ネットワーク、中

小企業から大企業、企業間のサプライチェーン及びインターネットを

使用するすべてのフィリピン人を対象としている。

文書の強制力 計画であるため強制力はない。ただし政策提言に係る計画も含まれて

いることに留意。

対策フレームワ

ークとの相違

点・類似点

⚫ サプライチェーンセキュリティを保護するために、リスク管理の

推進とは別に、国家によるコモンクライテリアや認証プログラム

の導入を推進している。また、戦略の中で国際的交流を促進して

おり、フレームワークにおけるグローバルハーモナイゼーション

の実現に関連する文書である。

法制度や規制と

の関係

2016 年に設立された DICT はその附属機関であるサイバー犯罪調査・

調整センター（Cybercrime Investigation and Coordination Center: CICC）

と協力して包括的なセキュリティ体制を構築している。また、政府はナ

ショナルサートの設立を通じて、インシデントへの迅速な対応と復旧

29

のための能力強化を図っている。本プランは共和国法 No.10844「情報

通信技術部門の設置、その権限及び設置のための資金を割り当て機能

及びその他の目的のための法案」の第二条の記載に則って策定された

ものであり、サイバーセキュリティに関する国際標準である ISO/IEC

27032-2012 と ISO/IEC 27000:2014 の内容に準拠している。

活用状況 本計画に基づき、サイバー脅威事例を活用するための脅威情報分析プ

ラットフォームについて、2019 年 1 月 15 日に着工通知が発行され、年

内には設立される予定である。

2.2 国際標準化機関における標準化策定動向

国際標準化機関において策定された、あるいは策定が進むサプライチェーンのサイバー

セキュリティ確保を目的としたリスク評価、リスク管理、セキュリティ対策、セキュリティ

評価・認証等に関係する規格を調査・整理した。調査した国際規格について、策定中の対策

フレームワークにおける記載事項との対比を行った。

調査にあたっては汎用制御システムにおけるセキュリティ規格標準の観点から IEC 62443

を選定した。IEC 62443 シリーズにおいては、組織における管理・運用・ポリシーの観点か

らセキュリティ対策要件を議論した IEC 62443-2-1 と、IEC 62443-2-1 で定義された組織要件

を制御システムの技術的要件として記載した IEC 62443-3-3 を選定した。また、サプライチ

ェーンにおける国際規格である ISO/IEC 27036-3 に関して調査を行った。

表 2-11 国際標準化規格 調査規格一覧

項目 標準化機関 文献名 概要

1

IEC TC 65 IEC 62443-2-1:2010

Industrial

communication

networks - Network and

system security - Part 2-

1: Establishing an

industrial automation

and control system

security program

制御システム分野で広く活用可能な

規格の一部であり、組織に対するセ

キュリティマネジメントシステムを

規定している。特に、産業用制御シ

ステム（IACS：Industrial Automation

and Control System）向けのサイバー

セキュリティマネジメントシステム

（CSMS）を確立するための要素を

定義しており、それらの要素を構築

するためのガイダンスを提供してい

る。

2

IEC TC 65 IEC 62443-3-3:2013

Industrial

communication

networks - Network and

system security - Part 3-

3: System security

requirements and

security levels

システムインテグレーター向けに制

御システムに対するセキュリティ機

能要件について規定。特に、IEC

62443-1-1 で定義された 7 つの基礎的

要求事項（FR）に関連する技術的制

御システム要求事項（SR）を規定し

ており、これは制御システムのセキ

30

項目 標準化機関 文献名 概要

ュリティレベルの要求事項も含んで

いる。

3

ISO/IEC JTC 1/SC

27

ISO/IEC 27036-3:2013

Information technology

-- Security techniques --

Information security for

supplier relationships --

Part 3: Guidelines for

information and

communication

technology supply

chain security

ICT サプライチェーンにおける製

品・サービスの利用者及びサプライ

ヤーを対象にガイダンスを提供。特

に、多層の ICT サプライチェーンに

引き起こされる情報セキュリティリ

スクの可視化、グローバルな ICT サ

プライチェーンによって生じるリス

クへの対応、情報セキュリティ管理

への対応等について記載している。

これらの国際規格のうち、

1. IEC 62443-2-1:2010

2. IEC 62443-3-3:2013

の 2 つの規格については、詳細に調査・整理を行った上で、対策フレームワークの「添付 C

対策要件に応じたセキュリティ対策要件」との対比を行った。

2.2.1 IEC 62443-2-1:2010

表 2-12 IEC 62443-2-1:2010 調査・整理結果

文書名（策定年） IEC 62443-2-1:2010 Industrial communication networks - Network and

system security - Part 2-1: Establishing an industrial automation and

control system security program (2013)

産業用通信ネットワーク – ネットワーク及びシステムセキュリティ

– Part 2-1: 産業自動化及び制御システムセキュリティプログラムの確

立

機関名 International Electrotechnical Commission (IEC), TC 65 - Industrial-process

measurement, control and automation

概要 制御システム分野で広く活用可能な規格の一部であり、組織に対する

セキュリティマネジメントシステムを規定。特に、産業用制御システム

（IACS：Industrial Automation and Control System）向けのサイバーセキ

ュリティマネジメントシステム（CSMS）を確立するための要素を定義

しており、それらの要素を構築するためのガイダンスを提供している。

アプローチ 本規格の本文では CSMS の各要素において求められる要件を定義して

いる。要素は、組織のセキュリティポリシーや訓練から導入の手順に

ついても記載を行っている。別紙 A では、各要素の要件を満足するた

めに実施する具体的事項を記載している。各要件について、要件の概

要と詳細なガイダンス、具体的な実施例と実行策が記載されている。

31

また、別紙 B では、組織において CSMS 要件を確立する上で必要な活

動の開発手順と、各々の活動における考慮事項を記載している。

対象読者 IACS の運用に直接作用するか間接的に影響を及ぼす可能性がある人

員

適用範囲 本規格で扱う IACS を、産業プロセスの運用に直接作用するか間接的

に影響を及ぼす可能性がある人員、ハードウェア及びソフトウェアの

集合と定義しており、これに関連する要素を適用範囲としている。た

だし、本規格で説明されている CSMS の要素のほとんどが組織の政策

や手順、実務及び人員に関連している。

他の文書との関

係

本文書は情報システムにおけるセキュリティマネジメントシステムを

示した ISO/IEC 27001 の ISMS（Information Security Management System）

をベースに制御向けのセキュリティマネジメントシステム CSMS

（Cyber Security Management System）を定義している。

法制度や規制と

の関係

EU Cybersecurity Act に基づき策定される予定のサイバーセキュリティ

認証フレームワークでは、ISO 27000 シリーズ、IEC 62443 シリーズの

準拠性が論点の中心となっている。また、国際連合欧州経済委員会

（UNECE）は、2018 年末に IEC 62443 シリーズをサイバーセキュリテ

ィに関する共通規則フレームワーク（CRF：Common Regulatory

Framework）に統合することを決定した20。

活用状況 CSMS 認証は制御システムに関する企業を中心に導入が始まっている

が、ISMS 認証に比べて認証取得組織の数は少ない。

調査した結果に基づき、「添付 C 対策要件に応じたセキュリティ対策要件」との対比を

行った。この結果は別紙 1 に示す。なお、対比を行った結果、対策フレームワークとの堆肥

が取れない項目（対応する対策要件が添付 C に存在しない項目）は以下のとおりであった。

4.3.2.2.2 適用範囲の内容の定義

適用範囲では、CSMS の戦略的目標及びプロセスを説明しなければならない。

4.3.2.3.2 セキュリティ組織の確立

経営陣の主導によって確立（又は選抜）された、IACS のサイバー的側面に関する明確

な指示及び監督を提供する責任を持つ、ステークホルダーの組織、構造又はネットワー

クが存在しなければならない。

4.3.2.4.4 訓練プログラムの検証

要員がセキュリティプログラムを確実に理解し、要員が適切な訓練を確実に受けるよ

うに、訓練プログラムが継続的に検証されなければならない。

4.3.2.4.5 訓練プログラムの経時的な改定

新たな又は変化する脅威及び脆弱性を説明するために、サイバーセキュリティの訓練

プログラムが必要に応じて改訂されなければならない。

4.3.2.4.6 従業員の訓練記録の維持管理

20 https://www.isa.org/intech/201902standards01/

32

従業員の訓練記録及び訓練更新のスケジュールが維持管理され、定期的にレビューさ

れなければならない。

4.4.2.3 適合の尺度の確立

組織は、CSMS への適合を監視するために使用されるパフォーマンス指標及び成功基

準を定義しなければならない。それぞれの定期的監査からの結果は、セキュリティのパフ

ォーマンス及びセキュリティの傾向を示すために、これらの尺度に対するパフォーマン

スの形で表されなければならない。

4.4.2.5 非適合に対する懲罰措置の定義

組織は、CSMS への非適合が何を意味するかを述べ、関連するいかなる懲罰措置の定義

も行わなければならない。

4.4.2.6 監査員の能力の確保

適用範囲内にある特定のシステムを監査するために要求される能力が規定されなけれ

ばならない。要求される独立性のレベルが、ガバナンスの一環として決定されなければな

らない。

4.3.2.5.4 事業継続チームの結成

IACS 及びその他のプロセスの所有者が含まれている事業継続チームが結成されなけ

ればならない。重大な動作中断が発生した場合は、このチームが、運用を再確立するため

の重要な業務システム及び IACS システムの優先順位を決定しなければならない。

4.3.3.2.4 セキュリティ上の責任への対処 要員のセキュリティポリシーでは、機密を扱う地位に対しては特に、採用から雇用終

了に至るまでのセキュリティ上の責任に対処しなければならない。

4.3.3.2.5 セキュリティ上の期待事項及び責任の文書化及び伝達 セキュリティ上の期待事項及び責任が明確に文書化され、要員に定期的に伝達されな

ければならない。

4.3.3.2.6 サイバーセキュリティに関する雇用条件の明確な記述 雇用条件では、サイバーセキュリティに対する要員の責任が明確に述べられなければ

ならない。これらの責任は、雇用終了後の妥当な期間に亘って延長されなければならな

い。

4.3.3.2.7 適切な抑制と均衡を維持するための職務の分離 IACS の機能的運用を変更するアクションに対する完全な制御をどの一個人も持つこ

とがないように、要員間で任務を分離して、適切な抑制と均衡を維持しなければならな

い。

4.3.3.3.10 重要資産の暫定的保護のための手順確立 例えば火災、浸水、セキュリティ侵害、中断、天災又はその他のあらゆる種類の災害が

原因となって運用が中断している時に重要なコンポーネントを確実に保護するための手

順が確立されなければならない。

4.3.4.3.5 サイバーセキュリティ及びプロセス安全性マネジメント（PSM）の変更管理

手順の統合 サイバーセキュリティの変更管理手順が、既存の PSM の手順に統合されなければなら

ない。

4.3.4.3.6 ポリシー及び手順のレビュー及び維持管理

33

セキュリティ上の変更によって安全性又は事業継続に対するリスクが増大しないこと

を確実にするために、運用及び変更管理のポリシー及び手順がレビューされ、最新の状態

に維持されなければならない。

4.3.4.3.7 パッチマネジメント手順の確立及び文書化 パッチマネジメントの手順を確立し、文書化し、それに従わなければならない。

4.3.4.4.6 情報の分類の維持管理 特別な管理又は処置を必要とする情報は、特別な処置がまだ必要であることを検証す

るために、定期的にレビューを実行しなければならない。

4.3.4.5.11 演習の実行 インシデント対応プログラムを定期的にテストするために、演習が実行されなければ

ならない。

（注）太字の項目は、対応する対策要件がないと考えた根拠に該当する記述を表す。

2.2.2 IEC 62443-3-3:2013

表 2-13 IEC 62443-3-3:2013 調査・整理結果

文書名（策定年） IEC 62443-3-3:2013 Industrial communication networks - Network and

system security - Part 3-3: System security requirements and security

levels (2013)

産業用通信ネットワーク – ネットワーク及びシステムセキュリティ

– Part 3-3: システムセキュリティ要件及びセキュリティレベル

機関名 International Electrotechnical Commission (IEC), TC 65 - Industrial-process

measurement, control and automation

概要 本規格では、システムインテグレーター向けに制御システムに対する

セキュリティ機能要件について規定している。特に、IEC 62443-1-1 で

定義された 7 つの基礎的要求事項（FR）に関連する技術的制御システ

ム要求事項（SR）を規定しており、これは制御システムのセキュリテ

ィレベルの要求事項も含んでいる。

アプローチ IEC 62443-1-1 で記載された 7 つの基礎的要求事項（FR）に関連する

技術的制御システム要求事項（SR）を規定している。これらの要求事

項は、特定の資産について適切な制御システムの目標や、制御システ

ムを開発する際の検討対象システムに対して定義されたゾーン及びコ

ンジットと共に、IACS コミュニティの多くの範囲で使用されるとし

ている。対象とする基礎的要求事項は、「識別及び認証制御」、「使

用制御」、「システム完全性」、「データ機密性」、「データフロー

制限」、「イベントへのタイムリーなレスポンス」、「資源の可用

性」である。各システム要求事項では、根拠及び補足的手引きが記載

されている。

対象読者 対象読者は資産管理者、システムインテグレーター、製品供給者、サ

ービスプロバイダー及び適切な場合は適合性評価機関としている。適

34

合性評価機関には、準拠法及び規制の順守を確認するための監査を実

行する法的権限を持つ政府機関及び規制当局が含まれる。

適用範囲 本規格で扱う IACS を、産業プロセスの運用に直接作用するか間接的

に影響を及ぼす可能性がある人員、ハードウェア及びソフトウェアの

集合と定義しており、これに関連する要素を適用範囲としている。

法制度や規制と

の関係

EU Cybersecurity Act に基づき策定される予定のサイバーセキュリティ

認証フレームワークでは、ISO 27000 シリーズ、IEC 62443 シリーズの

準拠性が論点の中心となっている。また、国際連合欧州経済委員会

（UNECE）は、2018 年末に IEC 62443 シリーズをサイバーセキュリテ

ィに関する共通規則フレームワーク（CRF：Common Regulatory

Framework）に統合することを決定した。

活用状況 IEC 62443-3-3 のレイヤに対応した認証制度として ISCI （ISA Security

Compliance Institute）の EDSA（Embedded Device Security Assurance）認

証が開発された。

調査した結果に基づき、「添付 C 対策要件に応じたセキュリティ対策要件」との対比を

行った。この結果は別紙 1 に示す。なお、対比を行った結果、対策フレームワークとの堆肥

が取れない項目（対応する対策要件が添付 C に存在しない項目）は以下のとおりであった。

SR 3.5 入力の妥当性確認 制御システムは、入力データのシンタックスや内容の検証をしなければならない。制

御動作に直接影響するものは特に検証が必要。

SR 3.6 決定された出力 制御システムは、攻撃の結果、通常操作が維持できない場合は、予め決められた出力を

しなければならない。

SR 3.7 エラー処理 制御システムは、修正が効果的になるようにエラー条件を特定、操作できなければな

らない。エラー情報の公開は、トラブルシューティングに有用でない限り、制御システム

の攻撃者に悪用されないようにしなければならない。

SR 5.3 対人コミュニケーション制限の方法 ユーザーや外部の制御システムからの対人コミュニケーション手段を制限しなければ

ならない。

SR 7.5 非常電源 セキュリティ状態、縮退状態に影響されず、非常電源から電力供給が受けられなけれ

ばならない。

（注）太字の項目は、対応する対策要件がないと考えた根拠に該当する記述を表す。

35

2.2.3 ISO/IEC 27036-3:2013

表 2-14 ISO/IEC 27036-3:2013 調査・整理結果

文書名（策定年） ISO/IEC 27036-3:2013

Information technology -- Security techniques -- Information security for

supplier relationships -- Part 3: Guidelines for information and

communication technology supply chain security

情報技術 – セキュリティ技術 – サプライヤーとの関係に関する情報

セキュリティ – Part 3: 情報通信技術サプライチェーンセキュリティ

のためのガイドライン

機関名 ISO (International Organization for Standardization)/International

Electrotechnical Commission (IEC), JTC 1/SC 27 - IT Security techniques

概要 ICT サプライチェーンにおける製品・サービスの利用者及びサプライ

ヤーを対象にガイダンスを提供。特に、多層の ICT サプライチェーン

に引き起こされる情報セキュリティリスクの可視化、グローバルな ICT

サプライチェーンによって生じるリスクへの対応、情報セキュリティ

管理への対応等について記載している。

アプローチ ICT サプライチェーンにおける製品・サービスの利用者及びサプライ

ヤーに対して以下のガイダンスを提供する。

⚫ 物理的に分散した多層 ICT サプライチェーンによって引き起こさ

れる情報セキュリティリスクの可視化及び管理策

⚫ 情報セキュリティが ICT 製品やサービスを使用する組織に影響を

与える可能性があるサプライチェーンから生じるリスクへの対応

方法

⚫ ISO/ IEC15288 及び ISO/IEC 12207 に記載されているシステム/ソ

フトウェアライフサイクルプロセスに対して、ISO/IEC 27002 に

記載されている情報セキュリティ管理策の適用

対象読者 ICT サプライチェーンにおける製品・サービスのすべての利用者及び

サプライヤー

適用範囲 ICT サプライチェーンから生じるリスクとして、組織的側面及び技術

的側面の両方を考慮している。ICT サプライチェーンにおける利用者

とサプライヤーの関係として以下の例を挙げているが、これに限らな

い。

⚫ サプライヤーによって提供され、利用者が所有している ICT シス

テムの管理

⚫ サプライヤーによって提供・管理されている ICT システム・サー

ビス

⚫ サプライヤーによってすべてが提供又は一部が提供されて完成す

る製品開発、製品デザイン、製品構築プロセス

⚫ 商用オフザシェルフにおける製品サプライヤー

36

⚫ オープンソース製品に関するサプライヤー及びディストリビュー

ター

法制度や規制と

の関係

ENISA が発行した、EU の NIS 指令に準拠するための推奨事項をまと

めた文書である“Improving recognition of ICT security standards,

Recommendations for the Member States for the conformance to NIS

Directive”では、NIS 指令に準拠する際に役立つ国際標準として

ISO/IEC 27036 が挙げられている。

活用状況 NIST SP 800-161 や ENISA の“Supply Chain Integrity: An overview of the

ICT supply chain risks and challenges, and vision for the way forward”で

は、ISO/IEC 27036 で示されたサプライチェーンの考え方を参照して

いる。日本においては、内閣サイバーセキュリティセンター（NISC）

が発行している「外部委託等における情報セキュリティ上のサプライ

チェーン・リスク対応のための仕様書策定手引書」において、

ISO/IEC 27036 の内容に基づき対策事項を記述している。

37

3. 国際標準化戦略の検討

第 2 章で調査、整理した事項に基づき、対策フレームワークに基づく国際標準化を推進す

る際の課題等を整理した。そして、整理した事項に基づき、当該フレームワークの国際標準

化戦略を検討した。検討にあたっては有識者に対してヒアリングを実施し、国際標準化に向

けた課題や各国の公的機関との連携可能性等についての意見を収集した。

3.1 対策フレームワークの優位性分析

有識者ヒアリング及び国際標準化戦略を検討する前に、対策フレームワークにおいて国

際標準化を推進する際に重視すべきポイントを抽出する目的で、第 2 章で調査、整理した文

献と対策フレームワークを対比し、対策フレームワークの優位点を抽出した。調査・分析に

よって、主な独自性・優位点は以下の 2 点であると分析した。

1. 3 層構造・6 構成要素の考えにより、包括的な信頼性確保と動的な構造変化に対応可

能

2. 対策例の相対的なコスト関係が確認可能

以下では、これらの優位点を導いた過程について示す。

前提条件として、対策フレームワークによって期待される効果と特徴は以下のとおりで

ある。

１．各事業者がフレームワークを活用することで期待される効果

⚫ セキュリティ対策の実行による価値創造過程（バリュークリエイションプロセス）の

信頼性確保

⚫ 製品・サービスのセキュリティ品質を差別化要因（価値）にまで高めることによる競

争力の強化

２．フレームワークの特徴

① 各事業者が実施するセキュリティ対策のオペレーションレベルで活用できる

⚫ 産業社会として目指すべき対策の概念の整理だけではなく、各事業者が実際に

セキュリティ対策を実施するうえで活用できる内容にする。

② セキュリティ対策の必要性と適切な水準の対策例を示すことでコストの関係を把握

できるようにする

⚫ バリュークリエイションプロセス全体を構成する中小企業を含めた事業者が実

際にセキュリティ対策を実施できる、リスク源と必要な対策の関係を明らかに

し、できるだけコストがイメージできるような内容にする。

⚫ リスクベースの考え方を踏まえ、事業者が適切なセキュリティ対策を選択する

ことで、セキュリティレベルを保ったままでコストを圧縮する工夫ができるよ

うにする。

③ グローバルハーモナイゼーションを実現する

⚫ グローバルサプライチェーンの中で、日本における製品・サービスのセキュリテ

ィ対策が海外からも認められるよう、諸外国の動きをよく把握し、米欧などの主

38

要な規格との整合性を確保し、こうした規格を踏まえた各国の認証制度との相

互承認を進めていくことができる内容にする。

⚫ 本フレームワークでは、国外の規格との関係を整理した対比表も用意しており、

に本国内におけるサイバーセキュリティの取組が、そのまま国外においても一

定水準を満たしていることを示すことができるとともに、国外における取組が、

日本国内においても⼀定水準を満たしていることを示すことができるようにな

っている。

（出典）経済産業省「サイバー・フィジカル・セキュリティ対策フレームワーク

（第二案）について」

これらの特徴に加え、バリュークリエイションプロセスの概念と 3 層・6 構成要素による

整理の考え方は、諸外国文書にはない観点であると分析できる（表 3-1）。

表 3-1 諸外国文書と比較した際の対策フレームワークの特徴・独自性

特徴・独自性 具体的な特徴 諸外国文書における関連

項目

1. Society 5.0 型のサプ

ライチェーンとし

て、バリュークリエ

イションプロセスを

定義

サイバー空間とフィジカル空間

の両空間をまたいでモノやデー

タが動的につながり構成される

サプライチェーン活動を、バリ

ュークリエイションプロセスと

定義。現在までのサプライチェ

ーンの形態ではなく、様々な企

業や個人等の動的で柔軟なつな

がりにおける付加価値創造の構

造においてセキュリティを検

討。

⚫ NIST CSF ではサプラ

イチェーンを「調達

先の決定から始ま

り、設計、開発、製

造、加工、取り扱

い、提供」の流れと 2

次元的に定義。組織

間のつながり（サプ

ライヤー/バイヤーの

つながり）は記載

も、サイバー空間と

フィジカル空間の転

写の概念はなし。

⚫ NIST SP 800-161 で

は、連邦機関と関係

のあるシステムイン

テグレーター、サプ

ライヤー及び外部サ

ービスプロバイダー

を ICT サプライチェ

ーンの構成要素とし

て検討。リスク管理

2. バリュークリエイシ

ョンプロセスの活動

範囲を 3 層にて整理

⚫ 第 1 層：企業間のつながり

（企業のマネジメント信頼

性を確保）

⚫ 第 2 層：フィジカル空間と

サイバー空間のつながり

（要求される正確性に応じ

て適切に情報が変換される

機能を確保）

⚫ 第 3 層：サイバー空間にお

けるつながり（データの信

頼性を確保）

39

特徴・独自性 具体的な特徴 諸外国文書における関連

項目

3 つの層に分類し、その上でリ

スク源となる脆弱性を持つ要素

を明確化することで、企業（組

織）のマネジメントの信頼性だ

けでなく、他の観点に基づく信

頼性の基点を明確に設定するこ

とができ、プロセス全体の信頼

を確保可能。

においては、「組

織」・「組織のミッ

ション」・「情報シ

ステム」の階層毎に

リスク管理策を示し

ているが、階層間の

連携や転写の概念は

なし。

⚫ ENISA “Supply Chain

Integrity”ではサプラ

イヤーが鎖状につな

がったシンプルなサ

プライチェーンに加

え、各サプライヤー

の元にそれぞれ別の

サプライチェーンが

存在する「魚の骨

状」のサプライチェ

ーンを検討している

が、サイバー空間に

おけるデータのつな

がりは考慮せず。

⚫ NIST IR8228 や

ENISA “Good Practices

for Security of IoT”で

は、デバイスやデー

タ保護について記載

があるも、組織間の

つながり等について

は記載なし。

3. バリュークリエイシ

ョンプロセスの構成

要素を 6 つに分類し

て整理

⚫ 組織：バリュークリエイシ

ョンプロセスに参加する企

業・団体

⚫ ヒト：組織に属する人、及

びバリュークリエイション

プロセスに直接参加する人

⚫ モノ：ハードウェア、ソフ

トウェア及びそれらの部品

（操作する機器を含む）

⚫ データ：フィジカル空間に

て収集された情報及び共

有・分析・シミュレーショ

ンを通じて加工された情報

⚫ プロシージャ：定義された

目的を達成するために一連

の活動を定めたもの

⚫ システム：目的を実現する

ためにモノで構成される仕

組み・インフラ

プロセスは動的かつ柔軟に構成

されることから、資産を固定的

に捉えず、構成要素を抽象化し

て整理。

同様の結果は、諸外国関連文書で明記されている対策要件を、対策フレームワークの 3 層・

6 構成要素で分類した結果からも確認できる（図 3-1）。NIST SP 800 シリーズでは広く対

策要件が記載されているが、IoT 独自に関連する記載は少なく、第 2 層に関連する項目はほ

とんどない。IEC 62443 シリーズでは、62443-2-1 で組織要件を中心に記載し、62443-3-3 で

40

技術要件を中心に記載する形式となっているため、構成要素の観点から対策フレームワー

クの網羅性を担保するためには、複数の文書を参照する必要がある。ENISA “Good Practices

for Security of Internet of Things in the context of Smart Manufacturing”は対策フレームワークと

の親和性が高く、すべての項目にまたがる記載を行っているが、セキュリティ要件について

はあくまでグッドプラクティスであり、それぞれの要件はポリシー要件、組織的要件及び技

術的要件に分類されているのみで、セキュリティ・バイ・デザインの考えに則ったものでは

ないことに留意する必要がある。また、タイトルにあるようにスマート・マニュファクチュ

アリングに焦点を当てた文書であるため、対策フレームワークのようなバリュークリエイ

ションプロセス全体の議論でないことに留意する必要がある。

対策フレームワークでは、組織同士のつながりのみを考慮した従来のサプライチェーン

に対するサイバーセキュリティではなく、サイバー空間のデータのやりとりやサイバー空

間とフィジカル空間とのデータの転写を考慮した、バリュークリエイションの一連のプロ

セスにおけるセキュリティ要件を記載しており、構成要素の抽象度を高め、動的に構成が変

化するプロセスに対応した、包括的かつ汎用性の高いフレームワークであるといえる。一方

で、構成要素の抽象度が高いことにより、特定の産業分野に落とし込むことが難しい反面も

存在する。（例えば、「モノ」ではセンサ・アクチュエータだけでなくソフトウェアも定義

されているが、フィジカル空間に影響を与える「モノ」とそうでない「モノ」が存在するた

め、産業分野によって具体的な対策は異なる。また、クラウド・セキュリティは明示的に考

慮されていない。）

図 3-1 3層・6構成要素に対する諸外国関連文書対策要件のマッピング21

3 層・6 構成要素に基づく整理の考え方に加えて、対策例の相対的なコスト関係が確認可

能であることも、対策フレームワークの独自性だと考えられる。対策フレームワークの添付

C では、対策を導入・運用する際の相対的コスト等の観点から、対策例を High Advance、

21 図中「ENISA GP」は ENISA “Good Practices for Security of Internet of Things in the context of Smart

Manufacturing”を指す。

組織

プロセスに参加する企業

ヒト

組織に属する人、及びプロセスに直接

参加する人

モノ

ハードウェア、ソフトウェア及びそれらの部品

データ

フィジカル空間にて収集された情報及び

加工された情報

プロシージャ

定義された目的を達成するための

活動を定めたもの

システム

目的を実現するためにモノで構成される

仕組み・インフラ

第3層

サイバー空間におけるつながり

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● IEC 62443-2-1

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● IEC 62443-3-3

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST IR8228● NIST SP800-171

● IEC 62443-3-3

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● IEC 62443-2-1

● IEC 62443-3-3

● ENISA GP

第2層

フィジカル空間とサイバー空間の

つながり

● NIST IR8228

● IEC 62443-2-1

● ENISA GP

● IEC 62443-2-1

● ENISA GP

● NIST IR8228

● IEC 62443-2-1

● IEC 62443-3-3● ENISA GP

● NIST IR8228

● IEC 62443-3-3

● ENISA GP

● NIST IR8228

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● IEC 62443-2-1

● IEC 62443-3-3

● ENISA GP

第1層

企業間のつながり

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● IEC 62443-3-3● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● IEC 62443-3-3● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-3-3

● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● IEC 62443-3-3● ENISA GP

● NIST SP800-37

● NIST SP800-161

● NIST SP800-171● NIST IR8228

● IEC 62443-2-1

● IEC 62443-3-3● ENISA GP

41

Advance、Basic の三段階に分けて示すことで、事業者が組織に対するコスト意識の下でセキ

ュリティ対策を選択可能であるが、この考えに基づく分類は本調査で確認した他文書には

見られなかった22。一方で、フレームワークを活用することによる各事業者に対する影響と

して「競争力の強化」が挙げられているが、フレームワークを活用することによる定量的な

影響を、ビジネスの観点及び政策の観点から推進する必要がある。

3.2 有識者ヒアリング結果

前節で検討した結果を踏まえ、対策フレームワークの国際標準化推進を目的として、国内

外の有識者へヒアリング調査を実施した。

3.2.1 国内有識者ヒアリング結果

標準化に関する知見を有した国内の有識者 3 名に対してヒアリングを実施した。結果と

して、主に以下の意見が得られた。

⚫ 対策フレームワークに基づく国際標準化の可能性は存在するが、推進する項目の

抽出や事前の活動を実施する必要あり

⚫ 対策フレームワークの整理方針や考え方は国際的にも受け入れやすい

対策フレームワークの国際標準化についての意見として、対策フレームワークにおいて

は第Ⅰ部が概念を示し、第Ⅲ部では管理策を示しているが、扱っている範囲が広いため、対

策フレームワーク内のどの部分について国際標準化を推進するかの検討が必要であるとの

意見を頂戴した。第Ⅰ部の概念は重要である一方、一部を切り取ると概念の部分が伝わらな

いという懸念が指摘された。IEC 62443 ファミリーとしてはサプライチェーンまで踏み込ん

だ議論は行っておらず、IEC 62443 がファクトリーオートメーション（FA）のような分野に

拡張する際、サプライチェーンの考えが足りないという議論が起こる可能性があるため、提

案先として IEC TC65 は十分あり得る。その一方で、IEC 62443 で新たな事項について推進

してもニーズがあれば受け入れられるが、現在の対策フレームワークを IEC 62443 として標

準化するためには、具体的な粒度（Requirements 等）に落とし込む必要があるとの指摘を受

けた。また、IEC CAB（適合性評価評議会）では適用実績を求める事が多く、PA、FA 等の

蓋然性の高い領域においては実績重視の考えが特に顕著であるため、事前に何らかの実績

づくりを行う必要があるとの指摘を受けた。

対策フレームワークのスコープは広く、Society 5.0 を土台としているが、そもそも Society

5.0 の位置づけはドイツの Industry 4.0 よりも広く、Society 5.0 自体の考えを主要国に理解し

ていただく必要があるとの意見を頂戴した。そのため、対策フレームワークの国際標準化を

考えたときに、フレームワークの議論だけではなく、Society 5.0 やサイバーフィジカルシス

テムに関する議論が必要であり、同様の理由から、G7 や G20 の国際的政策会議において、

フレームワークに関する共通認識を形成する方策や、国際的に対策フレームワークを紹介

する場面で、既存の国際標準との対応関係を示すなどして国際標準に関連付けて説明する

22 NIST SP 800-53 Rev. 5 では、大統領令、指令、規制等への準拠を促進するために対策の影響度（Control

Baselines）を低・中・高に分類しているが、3 レベルのいずれかの Control Baseline の選択を組織に促すも

ので、各対策要件で相対的コストを考慮した影響度ではないことに留意。

42

方策は影響力が大きいとの意見が挙がった。

対策フレームワーク自体に対する意見として、IEC でも Smart Manufacturing の Committee

はあり、今回の対策フレームワークとの親和性は高く、国際的にも対策フレームワークの考

えは受け入れられやすいのではないか、という意見を頂戴した。また、サプライチェーンの

制度設計という考えは、現在までもあまり存在しないとの意見が得られた。IEC 62443 で記

載されている内容はサイバー層・フィジカル層の区分なく、整理が行われていない状況であ

るので、対策フレームワークの 3 層の考え方は興味深く拝見した、との意見も得られた。加

えて、サプライチェーンに限らないサイバーフィジカルシステムの整理のフレームワーク

として、対策フレームワークの考え方を用いるのも有益であるとの意見を頂戴した。

有識者による詳細なヒアリング結果は以下のとおりであった。

⚫ 対策フレームワークにおいて、第Ⅰ部が概念を示し、第Ⅲ部では管理策を示してい

る。扱う範囲が広いため、対策フレームワーク内のどの部分について国際標準化を

推進するかは検討が必要。

⚫ 第Ⅰ部の概念の章は、Society 5.0 との関連も強いため、Society 5.0 との関連を有し

た上で国際標準とするか、切り離して国際標準とするかは検討が必要。

⚫ 対策フレームワークにおいては、第Ⅰ部の概念が重要であると考えている。全体を

国際標準化することは難しいと思うが、一部を切り取ると概念の部分が伝わらない

という懸念がある。

⚫ 国際的に対策フレームワークを紹介する場面で、既存の国際標準との対応関係を示

す等、国際標準に関連付けて説明するというのは良い。

⚫ ISO/IEC TS 27101 の Bibliography の中には、日本の「サイバーセキュリティ経営ガ

イドライン」が関連文書として記載されており、今回の対策フレームワークが正式

に発行された場合に、これが対策フレームワークとして差し替わる。

⚫ 対策フレームワークの考えを伝えるにあたっては国際標準化をすぐに行う必要はな

く、G7 や G20 の国際的政策会議でフレームワークに関する共通認識を形成したあ

と、標準化を推進する方策も存在する。

⚫ 対策フレームワークの有用性は高いと考えている。IEC 62443 ファミリーとしては

サプライチェーンまで踏み込んだ議論は行っておらず、IEC 62443 がファクトリ

ー・オートメーション（FA）のような分野に拡張する際、サプライチェーンの考え

が足りないという議論が起こる可能性は十分あり得る。

⚫ 国際的にも対策フレームワークの考えは受け入れられやすい。サプライチェーンの

制度設計という考えは、現在までもあまり存在しないと認識している。

⚫ IEC 62443 で新たな事項について推進してもニーズがあれば受け入れられるが、現

在の対策フレームワークを IEC 62443 として標準化するためには、具体的な粒度

（Requirements 等）に落とし込む必要がある。また、全てを標準化に持っていくこ

とは難しく、推進事項を選定し、限定的な項目を持ち込む必要がある。

43

⚫ IEC 62443 で記載されている内容はサイバー層・フィジカル層の区分なく、整理が

行われていない状況であるので、対策フレームワークの 3 層の考え方は興味深い。

また、サイバーフィジカルシステムの整理のフレームワークとして、対策フレーム

ワークの断面を導入することも有益であると考えている。

⚫ CAB（適合性評価評議会）は実績を求める事が多い。PA や FA 等の蓋然性の高い領

域においては特に顕著であるため、何らかの実績づくりは必要。

⚫ 国内の IEC 62443 に係る体制をしっかりと構築する必要がある。

⚫ ISO/IEC 27036-3 では、サプライチェーンにおけるセキュリティアウトソーシングに

関するガイドが示されており、今回の対策フレームワークとの親和性は高い。

⚫ ISO/IEC 27036 は改訂のタイミングであるので、対策フレームワークを入れ込んで

提案する可能性は考えられる。ただし、ISO/IEC 27036 は記載内容の粒度が粗いた

め、現状の対策フレームワークの内容をそのまま持ち込むのは少し厳しい。

ヒアリングの結果からも、前節で議論した内容が国際標準化の観点からも優位的である

ことが確認できた。一方で、推進する項目の抽出や事前の活動を実施する必要がある上、対

策フレームワークが立脚している Society 5.0 の考えが国際的に浸透していないとの問題も

提起された。

3.2.2 海外有識者ヒアリング結果

海外での対策フレームワーク連携可能性や産業分野への応用の観点から、電力セキュリ

ティに関する知見を有した海外有識者 1 名に対してヒアリングを実施した。結果として、主

に以下の意見が得られた。

⚫ 対策フレームワークの 3 層の考え方は、複雑に絡み合った現代のシステム構造を

記述できる

⚫ モノが相互に連携しているという考えについて、一般的な IoT セキュリティの観

点だけでなく、電力を含む複数の産業分野にも適用するという考えは現在まであ

まりないものであると考える

⚫ 国際連携の可能性は十分に存在するが、産業分野に落とし込む際には、各国の状況

を踏まえた検討が必要

対策フレームワークの考え方に対する意見としては、事業者同士が相互確認する旧来型

のサプライチェーン手法は、現状のシステムでは一般的ではなく、対策フレームワークのよ

うに第 2 層、第 3 層を含めることで、複雑に絡み合った現代のシステム構造を記述できる

との意見を頂戴した。電力サプライチェーンにおける大まかな構成要素は、組織、ガバナン

ス、人事、技術的セキュリティ及び物理的セキュリティの 5 つであるが、今回のフレームワ

ークの 6 構成要素はこれを含んだ形であるため、電力サプライチェーンの観点からも興味

深いフレームワークであるとの意見を得た。また、対策フレームワークにおいては、第 3 層

でモノの相互連携を検討しているが、一般的な IoT セキュリティの観点だけではなく、電力

を含む産業分野にも適用するという考えは現在まであまり無いとの意見を頂戴した。一方

で、第 1 層と第 3 層をつなげるデータの Transcription（転写）の概念については、個人の影

44

響力が大きい構造となりかねないため別途対策が必要であること、第 3 層においても、技術

的なセキュリティ対策方法の検討が好ましいとの指摘を受けた。

対策フレームワークに基づく国際連携の観点では、対策フレームワークの考えは国際的

に受け入れられる可能性を示唆しつつも、各産業分野に適用することの難しさを指摘され

た。現状の電力サプライチェーンセキュリティは、各国や組織毎に規定された規則やガイド

ラインに従う必要がある。例えば、ウクライナでは EU Directive 2008/114/EC、インドでは

ISAC-power によって決定された一連の規則に準拠する必要があるが、これらは各国の市場

で効率的に機能するモデルである。対策フレームワークでは日本の市場を念頭に設計され

ているが、各国に電力サプライチェーンセキュリティという観点で普及させるには、各国の

状況を踏まえた検討を行う必要があるとの指摘を受けた。

有識者による詳細なヒアリング結果は以下のとおりであった。

⚫ 対策フレームワークにおける第 1 層で、事業者同士が相互確認する旧来型のサプ

ライチェーン手法は、現状のシステムでは一般的ではない。対策フレームワーク

のように、第 2 層、第 3 層を含めることで、複雑に絡み合った現代のシステム構

造を記述できると考える。

⚫ モノが n 対 n で相互に連携しているという考えは興味深い。一般的な IoT セキュ

リティの観点からは当然の事かもしれないが、これを電力の分野にも適用すると

いう考えは現在まであまり無いのではないか。

⚫ 電力サプライチェーンにおける大まかな構成要素は、組織、ガバナンス、人事、

技術的セキュリティ及び物理的セキュリティの 5 つであると認識している。対策

フレームワークの 6 構成要素はこれを含んだ形であるため、電力サプライチェー

ンの観点からも興味深いフレームワークである。

⚫ 第 1 層と第 3 層をつなげるデータの Transcription（転写）の概念は興味深いが、1

点懸念がある。電力市場でこれを担うのは、安く電気を仕入れ高く需要家に売る

ブローカーであり、この影響力が大きい構造となってしまう。彼らの詐欺等を防

ぐための要件は別途定める必要がある。

⚫ 第 3 層においても、技術的なセキュリティ対策方法の検討が好ましい。

⚫ 現状の電力サプライチェーンセキュリティは、各国や組織毎に規定された規則や

ガイドラインに従う必要があり、統一的なフレームワークは存在しない。例え

ば、ウクライナでは EU Directive 2008/114/EC、インドでは ISAC-power によって

決定された一連の規則に準拠する必要がある。これらは、各国の市場で効率的に

機能するモデルである。日本の電力市場は地域間融通などが必要な独特の特徴を

有しており、今回のフレームワークは日本の市場も意識されていると思うが、各

国に電力サプライチェーンセキュリティという観点で普及させるには、各国の状

況を踏まえた検討を行う必要がある。

45

3.3 国際標準化戦略

対策フレームワークの優位性分析及び有識者のヒアリング結果に基づき、国際標準化戦

略の検討を行った。国際標準化戦略として、表 3-2 に挙げられる案について検討を行った。

表 3-2 国際標準化戦略案

国際標準化戦略

案 1

国際標準化戦略

案 2

国際標準化戦略

案 3

国際標準化戦略

案 4

提案概要 対策フレームワ

ークの記載内容

（主に第Ⅰ部の

3 層 6 構成要素

の考え及び添付

C）に基づき、

ISO/IEC 27000

ファミリーを始

めとする既存

IEC 規格とのマ

ッピングをす

る。

対策フレームワ

ークの 3 層 6 構

成要素の考え方

及びそれに関係

するリスク管理

の考え方（第Ⅱ

部）を、IoT に

おける

Trustworthiness

と、複数組織に

またがる

Interoperability

として推進す

る。

対策フレームワ

ークの 3 層 6 構

成要素の考え方

及び各構成要素

における対策要

件を、IEC

62443-2 の一部

として提案す

る。

対策フレームワ

ークの 3 層 6 構

成要素の考え方

及びセキュリテ

ィ・バイ・デザ

インの考え方

を、改訂のタイ

ミングを迎える

ISO/IEC 27036-3

に提案する。

推進すべき

内容

第Ⅰ部及び第Ⅲ

部（及び添付

C）

第Ⅰ部及び第Ⅱ

部

第Ⅰ部及び第Ⅲ

部（及び添付

C）

第Ⅰ部及び第Ⅲ

部の一部

標準化提案

先

ISO/IEC JTC

1/SC 27

ISO/IEC JTC

1/SC 41

IEC TC 65 ISO/IEC JTC

1/SC 27

既存の国際

規格との関

係

ISO/IEC 27001,

27002, 27030 及

び IEC 62443 と

の対比関係を正

確に示す必要が

ある。

IoT のリファレ

ンスアーキテク

チャについて記

載した ISO/IEC

30141 との対比

及び類似点の抽

出は必要。

IEC 62443-2 の

一部として提案

を行うが、対策

フレームワーク

においては

62443-3 の要件

についても一部

包含している点

も推進可能。

現状の ISO/IEC

27036-3:2013 と

記載の平仄を合

わせる必要があ

る。

なお、すべての国際標準化戦略に関わる国内体制構築等の項目については第3.4節で示す。

3.3.1 ISO/IEC JTC 1/SC 27 に対する提案（国際標準化戦略案 1）

この案では、対策フレームワークの記載内容（主に第Ⅰ部の 3 層 6 構成要素の考え及び

添付 C）に基づき、ISO/IEC 27000 ファミリーを始めとする既存規格とのマッピングをする

46

ことで、ISO/IEC JTC 1/SC 27（IT Security techniques）での規格である ISO/IEC TR（Technical

Report：技術報告書）に提案することを目指す。この方策は、2018 年 2月に公開された ISO/IEC

TR 27103:2018 のアプローチに則っており、すでに前例もあることから、実現性も高いと考

えられる。

ISO/IEC TR 27103:2018 は、NIST CSF が現在の情報セキュリティ標準をいかに利用可能

で、サイバーセキュリティ管理策をどのように実現できるかを示した規格である。主なポイ

ントとして、ISO/IEC 27001 に記載されている管理策を NIST CSF の枠組みに落とし込んだ

ことが挙げられる。

対策フレームワークでは、添付 C において、ISO/IEC 27001 との対比だけではなく、NIST

SP 800-171 及び NIST SP 800-53 Rev. 4 ともマッピングを行っていることに加えて、本調査

業務の結果を踏まえると、IEC 62443 等の規格とのマッピングも可能であり、既存規格との

マッピングの観点からは十分であると考えられる。また、第 3.1 節で議論したとおり、添付

C で挙げられている対策要件として相対的なコスト関係が確認可能であることも特徴の一

つであり、これらを総合的に記載することで、単にマッピングを実施しただけではない規格

として提案可能であると考えられる。

本調査業務では、ENISA “Good Practices for Security of Internet of Things in the context of

Smart Manufacturing” に記載されている対策要件のマッピングも行ったが、ENISA は本標準

化活動の連携機関として注力すべき組織であると考えられる。2018 年 12 月に、欧州議会及

び欧州委員会は EU Cybersecurity Act に関する政治的合意を行ったが、これにより、ENISA

の権限が強化される予定である。この Act やサイバーセキュリティ認証フレームワーク23の

導入にも関連して、ENISA は 2019 年 1 月にサイバーセキュリティ標準化に関する会議24を

開催するなど、標準化を視野に入れた活動に乗り出している。また、ENISA は IoT セキュ

リティに関するガイドラインである“Baseline Security Recommendations for IoT”や IoT セキュ

リティ標準に関する標準化とのギャップを示した IoT 関連標準の展望について分析を行っ

た“IoT Security Standards Gap Analysis”を発表している25ほか、ENISA の戦略ビジョンを示し

た ENISA Strategy 2016 – 2020 では、 “International Activities”という項目で、EU 加盟国の枠

組みを超えた政策イニシアチブを構築・支援し、国際レベルでの行動することが示唆されて

いる26。また、欧州電気通信標準化機構（ETSI）は、2019 年 2 月に消費者向け IoT デバイス

のサイバーセキュリティ関する TS（Technical Specification: 技術仕様書）を発表しており27、

IoT セキュリティに関する議論は欧州において特に活発となっている。したがって、ENISA

が示した対策要件もマッピングを行った状態で国際標準化を推進する場合は、ENISA やサ

イバーセキュリティ認証フレームワークの動きに注視することが望ましい。

現状の第Ⅲ部での対策要件の記載や添付 C でのマッピングは、NIST CSF のサブカテゴリ

ーに対応付ける形で行っている。対策フレームワークの整理軸である 3 層・6 構成要素の考

23 ICT 機器とサービスに関する欧州の認証フレームワークで現在策定に向けた議論が行われている。この

認証制度では、製品が遵守する必要のある技術要件及び評価手順に関して既存の基準を使用し、技術標準

自体を開発しない。また、監視、監督、執行の任務は加盟国に委ねられており、直ちに事業者に対して規

制を促すようなものではないことに留意。

24 https://www.enisa.europa.eu/events/cybersecurity_standardisation/ 25 https://www.enisa.europa.eu/publications/iot-security-standards-gap-analysis 26 https://www.enisa.europa.eu/publications/corporate/enisa-strategy 27 https://www.etsi.org/deliver/etsi_ts/103600_103699/103645/01.01.01_60/ts_103645v010101p.pdf

47

え方は、既存のガイドラインや国際規格には存在せず、バリュークリエイションプロセスに

ついて抽象度を高めた観点からセキュリティリスク源を的確にするという目的で、第Ⅲ部

における対策要件の記載についても 3 層・6 構成要素の考えに基づいた記載を行うべきであ

る。添付 B の記載に則って、代表的な対策を 3 層・6 構成要素に分類した場合（図 3-2）、

一つの対策要件が複数の層や構成要素にまたがることが多く、3 層・6 構成要素の区別につ

いては再検討を行う必要がある。

図 3-2 3層・6構成要素に対する対策要件のマッピング28

3.3.2 ISO/IEC JTC 1/SC 41に対する提案（国際標準化戦略案 2）

この案では、対策フレームワークの 3 層 6 構成要素の考え方及びそれに関係するリスク

管理の考え方（第Ⅱ部）に基づき、IoT に関する国際標準化を担う ISO/IEC JTC 1/SC 41

（Internet of Things and related technologies）に提案することを目指す。ISO/IEC JTC 1/SC 41

は、2016 年 11 月に設立された比較的新しい分科委員会であり、IoT に関連する技術につい

て標準化を整合することを目的としている。JTC 1/SC 41 は、IoT システムの高信頼化

（Trustworthiness）のための設計要求事項や IoT システムに適用される相互運用性

（Interoperability）の考えに基づいており、業界のベストプラクティスを使用して標準化し

た IoTリファレンスアーキテクチャに関する ISO/IEC 30141:2018等を発行している。ISO/IEC

30141 が示している IoT リファレンスアーキテクチャは、様々な分野にまたがるアーキテク

チャを示しており、特定の分野に落とし込むためには、その分野固有のアーキテクチャが必

要となる可能性を示唆しており、対象とする領域としては対策フレームワークに近い。

対策フレームワークでは Society 5.0 や Connected Industries 型のサプライチェーンを、様々

なモノやデータが動的につながって構成される付加価値創造活動として「バリュークリエ

28 第 3 層の「モノ」については添付 B に対策の記載がないことに留意。

組織

プロセスに参加する企業

ヒト

組織に属する人、及びプロセスに直接

参加する人

モノ

ハードウェア、ソフトウェア及びそれらの部品

データ

フィジカル空間にて収集された情報及び

加工された情報

プロシージャ

定義された目的を達成するための

活動を定めたもの

システム

目的を実現するためにモノで構成される

仕組み・インフラ

第3層

サイバー空間におけるつながり

◼ 第三者機関による

セキュリティ評価を

経て安全性を確認された製品・

サービスを提供しているサプライヤを選定する

◼ 自組織の要員及

び自組織のインシ

デントに関係しうる関係組織の担当

者に対して適切な訓練・教育を実施する

-

◼ IoT機器、サーバ

等の間、サイバー

空間で通信が行われる際、通信経路を暗号化する

◼ データを適切な強

度の方式で暗号化して保管する

◼ データの取得元、

加工履歴等をライ

フサイクルの全体に渡って維持・更新・管理する

◼ 組織内のネット

ワークと広域ネット

ワークの接点において、ネットワーク

監視・アクセス監視を実施する

第2層

フィジカル空間とサイバー空間の

つながり

◼ ネットワーク接続

状況やデータ送受

信状況について継続的に把握する

◼ IoT機器導入後に、

追加するソフトウェアを制限する

◼ IoT機器、サーバ

等の重要性を考

慮し、適切な物理的アクセスの設定

及び記録、監視を実施する

◼ 自組織にとって重

要な機能を有する

危機を調達する場合、耐タンパー性を有したIoT機

器、サーバ等を選定する

◼ IoT機器、サーバ

等の撤去・譲渡・

廃棄時には、内部に保存されている

データや重要情報を削除する

◼ IoT機器の初期設

定手順（パスワー

ド等）及び設定値の更新方法を定義する

◼ ユーザが利用する

機能と、システム

管理者が利用する機能を分離する

◼ IoT機器導入後に、

追加するソフトウェアを制限する

第1層

企業間のつながり

◼ 他組織も巻き込ん

だリスクマネジメントを実施する

◼ 自組織の事業継

続に当たり重要な関係者を特定し

優先付けをし、評価する

◼ 自組織の要員及

び自組織のインシ

デントに関係しうる関係組織の担当

者に対して適切な訓練・教育を実施する

◼ 自組織の資産を

文書化する

◼ 自組織が生産したモノのサプライ

チェーン上の重要度に応じて、特定方法を定める

◼ 通信経路上また

は保管時にデータを暗号化する

◼ 送受信・保管する

データに完全性チェックメカニズムを使用する

◼ 組織のセキュリティ

ポリシーを策定する

◼ リスク管理を適切

に行うために戦略策定、リソース確保を行う

◼ 脆弱性管理体制

を確立し、リスク許容度を決定する

◼ IoT機器やユーザ

を、取引のリスクに見合う形で認証する

48

イションプロセス」と定義しており、IoT から得られる情報のデジタル化のための転換処理

や、大量に創出されたデータの受け渡しなど、サイバー空間とフィジカル空間が高度に融合

することで発生する新たなプロセスを考慮している。対策フレームワークが考えている 3 層

構造のうち、IoT はフィジカル空間とサイバー空間の転写を担う第 2 層とみなすことができ

るほか、6構成要素のモノの 1つであるともみなすことができる。対策フレームワークでは、

第Ⅱ部において 3 層構造アプローチに基づくバリュークリエイションプロセスのリスク源

を整理しており、その中で IoT 機器を介したサイバー空間とフィジカル空間の融合の観点

からリスク源及び関係する対策要件を示している。IoT セキュリティをサプライチェーンの

観点からリスク分析した国際標準は存在しないため、3 層 6 構成要素に基づいた IoT のリス

ク管理の観点で推進することは十分考えられる。

一方で、JTC 1/SC 41 ではいくつかの標準が開発中であり、対策フレームワークとの関連

があると考えられるものも存在する。特に、ISO/IEC NP 30149 “Internet of things (IoT) --

Trustworthiness framework”や ISO/IEC NP 30147 “Information technology -- Internet of things --

Methodology for trustworthiness of IoT system/service”については、製造業者、サプライヤー及

びユーザーの信頼性を確保するための IoT に関連するプロセスの共通言語を定義する目的

で標準化を目指すと JTC 1/SC 41 議長 François Coallier 博士が語っており29、対策フレームワ

ークの国際標準化を目指す観点からは、違いを明確化する必要がある。また、現在作成中の

NIST SP 800-53 Rev. 5 (Draft) “Security and Privacy Controls for Information Systems and

Organizations”では、管理すべき情報システムとして、サイバーフィジカルシステム、産業用

制御システム、IoT 等を含んだすべてのコンピューティングプラットフォームに対象が拡大

された。NIST SP 800-53 で挙げられている対策要件数は非常に多く、網羅性も高いため、連

携を行うという観点からも、NIST SP 800-53 Rev. 5 の改訂情報に注視する必要がある。

加えて、国内のガイドラインとの違いを明確化する必要もある。現在、内閣官房の「安全

な IoT システムのためのセキュリティに関する一般的枠組」が国際標準化に向けて JTC 1/SC

41 への提案を検討している。この枠組では、IoT システムのセキュリティ要件に係る基本的

要素を明確化しているが、リスク源は示されていない。第Ⅱ部で示されている IoT システム

に係るリスク管理は国内の視点からみれば対策フレームワークにおける優位点であり、標

準化を推進する際には国内文書との推進事項の棲み分けを明確にすることが望ましい。

3.3.3 IEC TC 65に対する提案（国際標準化戦略案 3）

この案では、対策フレームワークの 3 層 6 構成要素の考え方及び各構成要素における対

策要件を、IEC 62443-2 の一部として IEC TC 65 (Industrial-process measurement, control and

automation)に提案することを目指す。

対比調査及び有識者ヒアリングで明らかになったように、IEC 62443 ファミリーでは、サ

プライチェーンのセキュリティに関する議論は行っておらず、他組織に関する管理策は記

述しておらず、ファクトリー・オートメーション（FA）のような分野に拡張する際に、サプ

ライチェーンの考え方が重要視される可能性は高い。したがって、IEC TC 65 に標準化を提

案するにあたって推進すべき項目として、サプライチェーンに関する対策要件である

CPS.SC（サプライチェーンリスク管理）の要件が挙げられる。別紙 1 で示すとおり、対策

29 https://www.iecetech.org/In-Store/2018-05/A-common-language-for-IoT

49

フレームワークで挙げられている CPS.SC の対策要件のほとんどは IEC 62443-2-1 及び IEC

62443-3-3 に記載されておらず、一部対比が取れる項目についても、IEC 62443 では地組織に

ついて議論があるのみであった。CPS.SC では、自組織でだけではなく他組織のセキュリテ

ィマネジメントの適合確認や、サービスサプライヤーの選定等を明記しており、これらの考

え方は現状の IEC 62443 にはない考えであると分析できる。

一方で、CPS.SC の要件は現状 11 個のみであり、これらのみでサプライチェーンに関わる

セキュリティ対策が十分であるとは言い切れない。具体的には、NIST SP 800-161 で挙げら

れた他組織の来歴管理、否認防止、媒体の輸送管理等の項目は少なからず必要であると考え

られる。有識者ヒアリングでも得られたが、IEC 62443 として標準化するためには、現状の

対策要件をより具体的な粒度に落とし込む必要があり、サプライチェーンに関する対策の

網羅性を向上し粒度を高めるという観点では、NIST との連携は有益なものとなると考えら

れる。

3.3.4 ISO/IEC JTC 1/SC 27 に対する提案（国際標準化戦略案 4）

この案では、対策フレームワークの 3 層 6 構成要素の考え方及びセキュリティ・バイ・デ

ザインの考え方を、改訂のタイミングを迎える ISO/IEC 27036-3 に提案することを目指す。

ISO/IEC 27036-3 では、表 2-14 に示すとおり、ISO/ IEC 15288 及び ISO/IEC 12207 に記載さ

れているシステム/ソフトウェアライフサイクルプロセスに基づいた、サプライチェーンの

ライフサイクルプロセスを提示しているほか、ISO/IEC 27002 に記載されている情報セキュ

リティ管理策のマッピングを行っている。ICT サプライチェーンのライフサイクルプロセス

についても、ISO/IEC 15288 と同様に「合意プロセス」、「組織のプロジェクトイネーブリ

ングプロセス」、「プロジェクトプロセス」及び「テクニカルプロセス」に分類し、それぞ

れでの ICT サプライチェーンに関する活動を示している。

ISO/IEC 27002 の要件に基づいたライフサイクルプロセスにおけるセキュリティ管理策の

マッピングを行っている観点及びサプライチェーンにおけるリスク源についても分析を行

っている点は対策フレームワークとの親和性が高い。一方で、有識者ヒアリングで得られた

ように、記載内容の粒度が粗いことが課題として挙げられる。ISO/IEC 27036-3 で記載して

いるサプライチェーンのコンセプトは、ICT 製品やサービスの利用者・購入者（Acquirer）

とサプライヤーの関係のみであり、対策フレームワークで扱っているような、バリュークリ

エイションプロセスを構成するヒトやプロシージャに関する記載はほとんどない。また、利

用者・購入者とサプライヤーの関係を記載するにあたって、対策フレームワークにおける第

3 層のようなサイバー空間でのデータ同士のつながり及び IoT に挙げられる第 2 層でのフィ

ジカル空間とサイバー空間の転写の概念に関する記載も存在しない。これらの点で、現状の

対策フレームワークの考え方を推進することは難しく、ISO/IEC 15288 のライフサイクルプ

ロセスに合わせた対策要件に修正する必要がある。また、現状の対策フレームワークでは添

付 C において ISO/IEC 27001:2013 付属書 A との対比を行っているが、ISO/IEC 27036-3 は

ISO/IEC 27002 の要件に基づいたライフサイクルプロセスにおけるセキュリティ管理策を示

しているため、ISO/IEC 27002 の対策要件についてもマッピングを行い、対策フレームワー

クの要件がこの標準についてもある程度対比が行えることを示すことが望ましい。

50

3.4 対策フレームワーク全体の戦略

第 3.3 節では、調査や有識者ヒアリングで得られた結果に基づき、対策フレームワークの

国際標準化を推進する際に注力すべきフレームワークの項目や、標準化推進の際の課題等

について 4 つの戦略案を示した。対策フレームワークの本来の目的に立ち返ると、国際標準

化の推進は「国際ハーモナイゼーションの確保」及び「国際的なサイバーセキュリティ対策

のルール牽引」という目的のための手段の 1 つである。また、国際的な影響力強化だけでな

く、国内の各事業者が実施するセキュリティ対策のオペレーションレベルで対策フレーム

ワークが活用され、付加価値創造プロセスの信頼性が確保されることで、「組織や業界間の

信頼のチェーンを構築すること」も目的の 1 つであると考えられる。第 3.3 節で示した「国

際標準化の推進」もこれらのアクションプランの一つであり、本節では、これらの目的を達

成するために必要なアクションプラン（AP）案について、分析・整理を行い、それぞれのア

クションプラン案の達成目標を明確化する。本業務で考えるアクションプラン案は図 3-3及

び表 3-3 に示すとおりである。

図 3-3 対策フレームワークに基づくアクションプラン案

また、各アクションプランの国内外への影響度及びそのコストは図 3-4 のように分析で

きる。図中に示してあるとおり、各アクションプランは相互に作用するものであり、事前の

アクションプランを実施することでコスト等が削減できると考えられる。以降では、各アク

ションプランにおける関連状況や具体的な実施項目について示す。

国際ハーモナイゼーションの確保

国際的なサイバーセキュリティ対策のルール牽引

国内組織、業界等における信頼チェーンの構築

国際社会への対策フレームワークの前提共有アクションプラン１

国際標準化の推進アクションプラン６

国内企業への利用促進アクションプラン２

国内の国際標準化体制強化アクションプラン３

国内でのセキュリティ基準としてのデファクト化アクションプラン４

サプライヤ選定基準のためのガイドラインの策定アクションプラン５

51

表 3-3 対策フレームワークに基づくアクションプラン案

AP1

国際社会への対策

フレームワークの前提

共有

AP 2

国内企業への利用促進

AP3

国内の国際標準化

体制強化

AP4

国内でのセキュリティ

基準としてのデファク

ト化

AP5

サプライヤー選定基準

のためのガイドライン

の策定

AP6

国際標準化の推進

達成目標 対策フレームワークの

前提となっている

Society 5.0 の概念を国

際社会へ認知させる。

国内企業に対して、ガ

イドラインとしての使

用を普及させる。

国際標準化を推進する

際の国内体制を確立す

る。

日本版サイバーセキュ

リティフレームワーク

（CSF）としてデファ

クト化する。

対策フレームワークに

基づき、企業がサプラ

イヤーを選定する際の

基準のためのガイドラ

インを策定する。

国際デジュール標準と

して策定される。

プラン概要 G7 や G20 等のサイバ

ーセキュリティに限ら

ない国際的な政策会議

において、Society 5.0

や Connected Industries

の概念を周知する。

解説書等を作成し、国

内企業に対して対策フ

レームワークの利用を

促進する。

標準化に関わる有識者

等に対策フレームワー

クの内容を理解いただ

き、国際標準化を推進

する際の国内体制を確

立する。

海外規格との対応関係

を明確化し、国内企業

が調達で使用する際や

自社セキュリティレベ

ルの確認の際に、包括

的に参照できるフレー

ムワークとして推進す

る。

対策フレームワークの

うち、サプライヤーの

セキュリティに関わる

部分を抽出し、サプラ

イヤー選定基準のため

のガイドラインを策定

する。

対策フレームワークの

項目のうち、国際標準

化の重点推進事項を特

定し、適切な提案先に

提案をする。

対策フレー

ムワークに

おける重点

項目

⚫ 対策フレームワー

クの根底である

Society 5.0 の概念

⚫ 3 層・6 構成要素

の区分（主に第Ⅰ

部）

⚫ 主要国際標準との

対比

⚫ 対策例の相対的な

コスト関係（主に

第Ⅲ部及び対策

C）

⚫ 主要国際標準との

対比

⚫ 対策例の相対的な

コスト関係（主に

第Ⅲ部及び対策

C）

⚫ 3 層・6 構成要素

の区分（主に第Ⅰ

部）

⚫ 主要国際標準との

対比

⚫ 対策例の相対的な

コスト関係（主に

第Ⅲ部及び対策

C）

⚫ 対策例の相対的な

コスト関係（主に

第Ⅲ部及び対策

C）

⚫ 3 層・6 構成要素

の区分（主に第Ⅰ

部）

もしくは、

⚫ 対策例の相対的な

コスト関係（主に

第Ⅲ部及び対策

C）

52

図 3-4 アクションプランのマッピング

3.4.1 アクションプラン 1：国際社会への対策フレームワークの前提共有

本アクションプランでは、対策フレームワークの根底をなす概念である Society 5.0 や

Connected Industries のコンセプトについて、国際社会での理解を得ることを目的とする。あ

らゆるものがつながり、新たな付加価値を生み出していく産業社会である Society 5.0 や

Connected Industries の考え方は、国内においては徐々に浸透してきたものの、海外での認知

度は、関連するドイツの Industry 4.0 と比較すると劣ると考えられる。

Industry 4.0 では、IT と OT を統合する目的で、機器の機能、製品ライフサイクル及び製

造の責任の 3 軸で記載される Reference Architectural Model Indstrie 4.0（RAMI 4.0）が重要な

役割をなしている（図 3-5）。このアーキテクチャは、製品のライフサイクルの軸について

は IEC 62890、製造の責任階層の軸では、IEC 62264 及び IEC 61512 に基づいたものであり、

既存の考え方に則っているため受け入れられやすいことに加え、国際標準化との親和性が

非常に高い。事実、ドイツの DIN（ドイツ規格協会）、DKE（ドイツ電気技術委員会）及び

VDE（ドイツ電気技術者協会）は、このアーキテクチャに則った国際標準化推進のためのロ

ードマップを公開しており30、国際標準化に近いコンセプトであるといえる。

Society 5.0 の考えが国際的に浸透していないことは、国際標準化を推進する際だけの課題

ではなく、対策フレームワークに基づく国際ハーモナイゼーションの確保や国際的なサイ

バーセキュリティ対策のルール牽引の観点からも課題となる。この概念を国際的に浸透さ

せることは、対策フレームワークの戦略全体について重要な要素となるが、それを実施する

最も影響力のある事項として、G20 等の国際的な政策会議において、Society 5.0 や Connected

Industries の概念を周知することが挙げられる。G20 では、ICT 関連のタスクフォースとして

30 https://www.din.de/blob/65354/57218767bd6da1927b181b9f2a0d5b39/roadmap-i4-0-e-data.pdf

国内への影響度合い

海外への影響度合い

AP1

AP6

AP2AP

3

円の直径 は各アクションプランの相対的なコスト（金額、リソース、時間等）の関係を示したものである。

AP5

AP4

国際ハーモナイゼーションの確保、国際的なサイバーセキュリティ対策のルール牽引

国内組織、業界等における信頼チェーンの構築

53

デジタル経済に関するタスクフォースが設けられており、この中にはセキュリティに関す

るタスクフォースも含まれている。セキュリティのタスクフォースでは、セキュリティリス

ク、データ損失、プライバシー等におけるサイバー脅威及び脆弱性に対処するためのデジタ

ルテクノロジーに関するリスク管理アプローチを促進しており、このアプローチによりシ

ステムレジリエンスやセキュリティの国際的な向上を目的としている。この考えは、対策フ

レームワークの前提条件とも近く、国際的政策会議の場で対策フレームワークや Society 5.0

のコンセプトを紹介することは、対策フレームワーク全体の戦略に寄与するものであると

考えられる。

（図出典）Plattform Indstrie 4.0, “Reference Architectural Model Industrie 4.0 (RAMI 4.0)”

図 3-5 Industry 4.0におけるアーキテクチャ RAMI 4.0の構造

3.4.2 アクションプラン 2：国内企業への利用促進

本アクションプランでは、国内企業に対して、対策フレームワークをガイドラインとして

普及させることを目的とする。そのために、対策フレームワークにおける解説書等を作成し、

国内企業に対して対策フレームワークの利用を促進する。

対策フレームワークは 2019 年 4 月に公開予定であるが、添付資料も含めると記載内容は

多く、企業がそのまま活用することは容易ではない。また、現状の対策フレームワークでは、

企業がどの部分を実施し、何が達成できるのかについて明確ではないという課題がある。

これらの課題を解決し、国内企業に当該フレームワークの利用を促進する一つのプラン

として、対策フレームワークの解説書を作成することが挙げられる。経済産業省は 2015 年

12 月に、大企業及び中小企業（小規模事業者を除く）のうち IT に関するシステムやサービ

ス等を供給する企業及び経営戦略上 IT の利活用が不可欠である企業の経営者を対象に、「サ

イバーセキュリティ経営ガイドライン Ver 1.0」を公開した。その後、「具体的な実施方法

が不明である」等の指摘を鑑み、IPA と共に当該ガイドラインの解説書である「サイバーセ

キュリティ経営ガイドライン解説書」を 2016 年 11 月に公開した。この結果、2016 年 3 月

の調査では 18.8%の企業が、情報セキュリティ対策実施の際にサイバーセキュリティ経営ガ

イドラインを参照していると回答したが、2017 年 3 月に実施した同様の調査では 26.4%に

向上したという実績がある。サイバーセキュリティ経営ガイドライン Ver 1.0 では、主要事

54

項がサイバーセキュリティ経営の 3 原則及びサイバーセキュリティ経営の重要 10 項目であ

ったことを踏まえると、さらに記載事項の多い対策フレームワークでは、解説書等の作成は

不可欠であると考えられる。

解説書等を作成するために、対策フレームワーク公表後、対策フレームワークの活用性に

関して企業等に対してヒアリングを実施することが望ましい。この際、その有効性を確認す

るために米国 DoD の調達特約条項の影響を受ける企業（NIST SP800-171 を準拠する必要の

ある企業）が好ましい。ヒアリングの際は、この対策フレームワークが普及することで、産

業界にどのような影響が生じるか（例えば、既存の複数ガイドラインを包含しているためガ

イドラインの管理が容易になる、調達段階の共通言語となるため調達が容易になる、等）と、

具体的な活用方法に関してヒアリングすることが好ましい。ヒアリング結果を元に、想定読

者がフレームワークによって期待される効果を享受できているか、使い方を理解できてい

るかを分析し、必要に応じて解説書を作成する。解説書では、各組織に期待される効果や業

界として期待される効果、具体的なリスク分析や管理策の実施方法について明確化するべ

きである。現状の対策フレームワークでは、リスク分析や管理策に関して、網羅性を考慮し

た記載となっているが、必要に応じて抽象度をあげた記載を行う。読者の理解を向上させる

ために、サプライチェーンセキュリティにおけるリスクや攻撃例についても記載すること

が望ましい。

3.4.3 アクションプラン 3：国内の標準化体制強化

本アクションプランでは、国際標準化を推進する際の国内体制を確立することを目指す。

第 3.3 節では 4 つの国際標準化戦略について議論を行ったが、どの戦略を推進するにあた

っても、標準化に向けた国内の体制を構築する必要があり、これは国内有識者ヒアリングか

ら指摘された事項でもある。

国内体制を構築する際にはまず、第 3.3 節で示したような標準化提案先及び標準化推進事

項を議論・決定する必要がある。経済産業省が国際標準化を主導したクラウド・セキュリテ

ィに関する国際標準である ISO/IEC 27017 の場合では、国際標準化推進前に作成した「クラ

ウドサービス利用のための情報セキュリティマネジメントガイドライン」が標準のベース

となっている。この標準化においては、ISO/IEC 27002 の管理策をクラウド利用時について

マッピングしたクラウドサービス利用のための情報セキュリティマネジメントガイドライ

ンを策定後、ガイドラインの策定を行った関係者によって、国際標準化の検討及びガイドラ

インの英語化を実施した。これらを実施した後、ISO/IEC JTC 1/SC 27/WG 1 の国内主査に対

して提案を行い、主査が国際会議の場で紹介した結果、当該ガイドラインの国際標準に結び

ついた。

対策フレームワークの場合では、どの提案先においても、現状での対策フレームワークの

記載内容すべてを標準化することは現実的ではなく、項目を取捨選択し必要に応じて加筆・

修正を行う必要がある。国際標準化戦略に基づき選定した提案先と推進事項を、対策フレー

ムワーク策定の関係者で議論するともに、当該提案先の国内主査とは緊密な連携を行い、国

際標準化の際の意識合わせを実施することが望ましい。

55

3.4.4 アクションプラン 4：国内でのセキュリティ基準としてのデファクト化

本アクションプランでは、対策フレームワークに基づいたセキュリティ基準を国内デフ

ァクト化することを目指す。具体的には、様々な産業分野において、セキュリティ対策要件、

リスク管理策等をガイドラインとしてまとめる際に、これら産業分野文書の上位ガイドラ

インとして対策フレームワークを推進し、複数の産業分野を包括可能なセキュリティ文書

としてのデファクト化を推進する。このプランは、サイバーセキュリティに関する管理手法

の概念を 5 つのフレームワークコアに則り説明を行った NIST CSFやこの文書に基づいたガ

イドラインである NIST SP 800-171 の日本版の作成を目指すもので、このアクションプラン

を遂行するために、前述の「アクションプラン 2：国内企業への利用促進」を図ることが望

ましく、国内企業での認知度や利用が促進された段階で、個別の産業分野に注力することが

望ましい。

現在、「産業サイバーセキュリティ研究会」の下に設置した WG1（制度・技術・標準化）

では、「ビル」、「電力」、「防衛産業」、「自動車産業」及び「スマートホーム」の産業

分野についてサイバーセキュリティ上の課題を議論するサブワーキンググループ（SWG）

を設置していることに加え、複数産業分野にまたがるサイバーセキュリティ上の課題につ

いて議論する分野横断 SWG を設置している。ビル SWG においては、対策フレームワーク

の記載内容である 3 層構造の考え方に基づき、ビルシステムにおけるサイバーセキュリテ

ィ対策の考え方や基本ポリシーを示した「ビルシステムにおけるサイバー・フィジカル・セ

キュリティ対策ガイドライン（β版）」を公開しており、その他の SWG でもそれぞれの産

業分野における対策ガイドラインの策定が望まれる。この際、対策フレームワークの添付 A

では、これら産業分野の主要なシステムに対して、3 層構造に則ったデータのつながりを示

しており、複数の産業分野において対策フレームワークの汎用性は高いと考えられる。事実、

海外有識者ヒアリングにおいても、対策フレームワークの考え方を電力分野に適用する可

能性が示唆された。現状 SWG が設置されている産業分野において、対策フレームワークに

基づいたセキュリティガイドラインを策定することで、他の産業分野も付随することが期

待でき、我が国の産業界全体の取組としてのサイバーセキュリティ対策強化が期待できる。

産業分野毎のガイドラインに対する上位文書として推進する際に、現状の 3 層・6 構成要

素の構造に基づくユースケースを更に明確化するだけではなく、諸外国文書のセキュリテ

ィ要件との対比を更に詳細化することが望ましい。NIST SP 800-171 が米国政府機関の製品

調達セキュリティ基準となったことにより、国内企業においても、NIST SP 800-171 をはじ

めとする文書の影響力が高まっている。防衛装備庁が防衛関連企業に要求する情報セキュ

リティ基準を NIST SP 800-171 と同程度まで強化する方針を発表しており、国内調達につい

ても参照される可能性がある。事業者にとっては、調達において遵守すべき複数のガイドラ

インを満足する包括的な対策要件を策定され、その要件のみを遵守していることで契約等

の観点から好ましいと考えられる。現状の対策フレームワークの添付 C においては、SP 800-

171 及び NIST SP 800-53 とのマッピングを行っているため、これらを更に精緻化し、複数産

業分野で使用可能な対策要件を示すことが望ましい。

3.4.5 アクションプラン 5：サプライヤー選定基準のためのガイドラインの策定

本アクションプランでは、対策フレームワークに基づき、企業がサプライヤーを選定する

56

際の基準のためのガイドラインを策定することを目指す。

国内では、IT 製品を調達する際に活用する「IT 製品の調達におけるセキュリティ要件リ

スト」や、情報セキュリティに関する政府機関全体の統一的な枠組みを構築した「政府機関

等の情報セキュリティ対策のための統一基準」が公開されており、企業や政府機関等が調達

を行う際のセキュリティ基準が明確化しつつある。一方で、海外に目を向けると、Microsoft31、

Intel32、Cisco33、Oracle34、MacAfee35等の企業は、調達する製品に関するセキュリティ基準で

はなく、調達相手となるサプライヤー自身のセキュリティ基準について遵守すべき事項を

定めている。これらのサプライヤー選定基準においては、サプライヤーが扱うプライバシー

やデータの管理基準、組織の情報管理方法、アクセス管理、インシデント管理等が規定され

ており、Microsoft の基準を参照すれば、NIST SP 800-52 及び NIST SP 800-57 の要件に則り

「サプライヤーは Microsoft に関連するデータの転送については TLS 又は IPsec によって暗

号化する必要がある」等の記載がされており、これらの選定基準において既存の NIST 等ガ

イドラインの参照が確認できる。

国内企業では、サプライヤー選定に係るセキュリティ基準を独自で策定している企業は

ほとんどないが、今後策定を検討する企業は増加すると考えられる。この際に、対策フレー

ムワークの記載内容に基づくサプライヤー選定基準のためのガイドラインを作成すること

で、各企業や業界が自発的に基準の策定や検討を行うことができると考えられる。

3.4.6 アクションプラン 6：国際標準化の推進

本アクションプランに関する戦略については第 3.3 節で示したとおりである。

31 https://download.microsoft.com/download/A/B/D/ABDDEEC2-EA77-4187-883A-9AE343EB4201/Supplier-

Data-Protection-Requirements_en-US.pdf 32 https://supplier.intel.com/static/governance/documents/ssre%20-%20ver%205%200.pdf 33 https://www.cisco.com/c/dam/en_us/about/doing_business/legal/docs/supplier-privacy-information-security-

exhibit.pdf 34 https://www.oracle.com/us/assets/oracle-supplier-contractor-security-070672.pdf 35 https://www.mcafee.com/enterprise/en-us/assets/legal/supplier-security-requirements.pdf

57

4. まとめ

本調査業務では、サプライチェーン全体のサイバーセキュリティ確保に求められるリス

ク管理、リスク評価、セキュリティ対策に関する、諸外国の政府又は政府関連機関、業界団

体の取組状況や標準化機関における標準化の動向等を調査し、現在検討を進めている対策

フレームワークに基づく、サプライチェーン全体のサイバーセキュリティ強化に求められ

る枠組みの国際標準化を推進するための課題を整理した。

(1) 標準化動向に関する調査

サプライチェーンのサイバーセキュリティ確保に関係するリスク評価、リスク管理、セキ

ュリティ対策、セキュリティ評価・認証等の各種手法・制度について、諸外国の公的機関の

取組及び標準化策定機関における標準化動向をそれぞれ調査した。

諸外国公的機関の調査にあたっては、NIST 及び ENISA の文書のうち、サプライチェーン

セキュリティ又は IoT セキュリティに関するガイド等を示している文書を中心に選定した。

加えて、ASEAN 諸国からフレームワークの適用先と考えられるシンガポール及びフィリピ

ンにおけるサイバーセキュリティ政策文書を選定した。一部の調査文献については、対策フ

レームワーク 添付 C の対策要件との対比を行い、対策フレームワーク記載の対策要件につ

いて不足している項目を分析した。標準化動向調査については、汎用制御システムにおける

セキュリティ規格標準の観点から IEC 62443-2-1 及び IEC 62443-3-3、サプライチェーンにお

ける国際規格の観点から ISO/IEC 27036-3 を選定した。IEC 62443 の両規格については、対

策フレームワーク 添付 C の対策要件との対比を行い、対策フレームワークに記載されてい

る対策要件について、独自点や不足している項目等を分析した。

分析により、対策フレームワークで示されている 3 層構造・6 構成要素の構造に基づくサ

プライチェーンの捉え方は他の文書には存在せず、独自性の高いものであることが明らか

になった。この構造に基づいたリスク源の特定や対策要件の規定がなされており、包括的な

信頼性確保と動的な構造変化に対応可能であると考えられる。また、3 層構造・6 構成要素

の構造に基づく網羅性の高いリスク源の特定や対策要件の規定方策により、調査を行った

諸外国文書や国際標準を広く包含していることが明らかとなった。したがって、対策フレー

ムワークの要件を準拠することで、海外においても一定基準を満たしていると考えられ、対

策フレームワークが特徴としている、グローバルハーモナイゼーションの実現に寄与する

ものであると考えられる。一方で、現状の対策フレームワークでは、多くの調査文書で対象

としているクラウド・セキュリティに関わる対策要件が明示的に示されていないことや、サ

プライチェーンで重要となるトレーサビリティを保証するための情報収集等に関して記載

されていない。特定の産業分野で利用を促進するためには、その産業分野に依存した具体的

なリスク源や対策を明確化するとともに、現状不足していると思われる記載については検

討を行い、様々な業界や企業において対策フレームワークの活用を促進することが望まれ

る。

(2) 国際標準化戦略の検討

諸外国の公的機関の取組及び標準化策定機関における標準化動向の調査結果と有識者ヒ

アリングの結果に基づき、対策フレームワークの記載に基づく国際標準化戦略を検討した。

58

検討は 4 つの戦略案に対して行い、それぞれの戦略で、対策フレームワークの内容のうち推

進すべき内容、連携国・連携組織、標準化提案先、標準化の際の課題等を検討した。有識者

ヒアリングで得られた結果に基づき、標準化の提案先は ISO/IEC JTC 1/SC 27、ISO/IEC JTC

1/SC 41 又は IEC TC 65 が望ましく、国際標準化を推進する際は 3 層構造及び 6 構成要素の

考え方等を示した対策フレームワークの第Ⅰ部と、提案先に応じて注力すべき項目を選定

し、国内体制を構築した後に対応する提案先で標準化を推進することが望ましい。いずれの

国際標準化戦略においても、海外組織との連携を構築することは有益である。

また、本調査では、対策フレームワーク全体の戦略として、「国際ハーモナイゼーション

の確保」、「国際的なサイバーセキュリティ対策のルール牽引」及び「国内企業における付

加価値創造プロセスの信頼性が確保による、組織や業界間の信頼のチェーンを構築するこ

と」の達成につながるアクションプランの検討を行った。検討は、前述の国際標準化戦略を

含む 6 つについて行い、それぞれのアクションプランについて、達成目標、関連する状況、

具体的な実施項目等について分析・整理を行った。今後、国際社会への Society 5.0 の概念共

有、国内での対策フレームワーク利用促進等、国際標準化推進のみに囚われない複数のアプ

ローチを推進することで、対策フレームワークに基づく国際ハーモナイゼーションの確保

や国際的なサイバーセキュリティ対策のルール牽引、国内企業における付加価値創造プロ

セスの信頼性が確保による組織や業界間の信頼のチェーン構築等の達成が期待される。

59

別紙１ 対策フレームワークにおける「添付 C 対策要件に応じたセキュリティ対策要件」との対比36

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

CPS.AM-1 ・システムを構成するハードウェア及び

ソフトウェアおよびその管理情報の一覧

を文書化し、保存する

L1_1_a_COM,

L1_1_b_COM,

L1_1_c_COM,

L2_1_a_ORG,

L2_3_b_ORG

<High

Advanced>

O/S ○

(3.4.2)

○

(下記に加えて、

CM-8(1),

CM-8(2), CM-

8(3), CM-8(5))

○

(下記に加えて、

A.8.1.3)

○

(下記に加えて、

CM-8(1),

CM-8(2), CM-

8(6), CM-8(7),

CM-10(1))

- - - -

<Advanced>

O/S ○

(3.4.1, 3.8.5, 3.8.7,

3.8.8)

○

(CM-8, PM-5)

○

(CM-8, PV-1, SA-

5, SA-15(3))

○

（4.2.3.4）

○

（SR 7.8）

○

(下記に加え、

Expectation 2)

○

（PS-14）

<Basic>

O ○

(A.8.1.1, A.8.1.2)

○

(Expectation 1,

Expectation 3)

-

CPS.AM-2 ・自組織が生産したモノのサプライチェ

ーン上の重要性に応じて、特定方法を定

める

L1_2_a_COM <High

Advanced> O - - - - - - - -

<Advanced><

Basic>共通 O - - - - - - - ○

（PS-14）

CPS.AM-3 ・重要性に応じて、生産日時やその状態

等について記録を作成し、一定期間保管

するために生産活動の記録に関する内部

規則を整備し、運用する

L1_2_a_COM,

L1_3_a_COM

<High

Advanced> O - - -

○

（CM-8(7)） - - - -

<Advanced><

Basic>共通 O - - - - - -

○

（Expectation 3） -

CPS.AM-4 ・組織内の通信ネットワーク構成図及

び、データフロー図を作成し、保管する

L1_3_a_ORG,

L1_3_b_ORG

<High

Advanced> O -

○

(下記に加えて、

CM-2(2),

CM-2(3)) ○

(A.13.2.1,

A13.2.2)

- - - - -

<Advanced>

O -

○

(下記に加えて、

CA-9)

- - - -

○

（PS-14） <Basic>

O - ○

(CM-2, CM-2(1))

○

(CM-2, CM-2(1))

○

（4.2.3.4,

4.2.3.5）

- -

CPS.AM-5 ・自組織の資産が接続している外部情報

システムの一覧を作成し、保管する

L1_1_a_COM,

L1_1_b_COM,L1_1_c_CO

M,L1_3_a_ORG,

L1_3_b_ORG

<High

Advanced> O/S ○(3.12.4) ○(下記に加え

て、SA-9(2)) ○(下記に加え

て、A.13.1.2)

○

（下記に加え、

AC-20(1), AC-

20(3)）

- - -

○

（下記に加え

て、PS-11）

<Advanced>

O

○

(3.1.20, 3.1.21,

3.12.4)

○

(下記に加えて、

AC-20)

○

(下記に加えて、

AC-20, CA-3(5))

- -

○

（下記に加え、

Expecation 4）

○

（PS-12, PS-14,

TM-23） <Basic> O -

○

(SA-9)

○

(A.6.1.1)

○

(SA-9) - -

○

（Expectation 3）

CPS.AM-6 ・リソース（例：ヒト、モノ、データ、 L1_1_a_ORG,

L1_1_b_ORG,

<High

Advanced> O -

○

(下記に加えて、-

○

(下記に加えて、- - - -

36 対策要件 ID、対策要件、対応する脆弱性、対策例、対策例を実行する主体及び参照ガイドラインのうち NIST SP 800-171、NIST SP 800-53 Rev. 4 並びに ISO/IEC 27001:2013 付属書 A の記載は、対策フレームワークにおける添付 C から引用したものであ

る。本調査業務では、対策フレームワークで記載された対策要件と対策例に対して、NIST SP 800-161、IEC 62443-2-1:2010、IEC 62443-3-3:2013、NISTIR 8228 及び ENISA “Good Practices for Security of Internet of Things in the context of Smart Manufacturing”で挙

げられた対策要件をマッピングし、対応対比を行った。

60

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

システム）を、機能、重要度、ビジネス

上の価値に基づいて分類、優先順位付け

し、関係者に伝達する

L1_1_c_ORG SA-14) SA-9(3), SA-9(4),

SA-14)

<Advanced> O -

○

(RA-2) ○

(A.6.1.1)

○

(RA-2, AC-22) - - - -

<Basic>

O - - -

○

（4.2.3.6,

4.3.4.4.3）

- - -

CPS.AM-7 ・自組織および関係する他組織のサイバ

ーセキュリティ上の役割と責任を定める

L1_3_a_ORG,

L1_3_b_ORG

<High

Advanced><

Advanced>

O - - ○

(A.6.1.1, A.15.1.1)

- - - - -

<Basic> O - ○

(SA-4)

○

(SA-4)

○

（4.3.2.3.3） - -

○

（PS-14）

CPS.BE-1 ・サプライチェーンにおいて、自組織が

担う役割を特定し共有する

L1_3_a_ORG,

L1_3_b_ORG

<High

Advanced> O -

○

(CP-2, SA-14) -

○

(CP-2, SA-14) - - - -

<Advanced> O - - - - - - - -

<Basic> O - - - - - - -

○

（PS-22）

CPS.BE-2 ・あらかじめ定められた自組織の優先事

業、優先業務と整合したセキュリティポ

リシー・対策基準を明確化し、関係者(サ

プライヤー、第三者プロバイダ等を含む)

に共有する

L1_1_a_ORG,

L1_1_b_ORG,

L1_1_c_ORG

<High

Advanced> O - ○(下記に加え

て、SA-14) -

○

(下記に加えて、

SA-14)

- - -

○

（下記に加え

て、OP-23）

<Advanced>

O - ○

(PM-11)

○

(A.5.1.1)

○

(PM-11)

○

（4.2.2.1,

4.2.3.6）

- - ○

（PS-22）

<Basic> - - - - - - - - -

CPS.BE-3 ・自組織が事業を継続する上での自組織

および関係する他組織における依存関係

と重要な機能を識別する

L1_3_a_ORG,

L1_3_b_ORG

<High

Advanced> O -

○

(下記に加えて、

CP-8, CP-8(1), CP-

8(2), PE-9, PE-11)

○

(下記に加えて、

A.11.2.2)

○

(下記に加えて、

CP-8, CP-8(3), CP-

8(4))

- - - -

<Advanced> O -

○

(SC-5(2))

○

(A.12.3.1)

○

(SC-4, SC-5(2)) - -

○

（Expectation 8） -

<Basic> - - - - - - - - -

CPS.GV-1 ・セキュリティポリシーを策定し、自組

織および関係する他組織のセキュリティ

上の役割と責任、情報の共有方法等を明

確にする

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO

<High

Advanced> O -

○

(controls from all

security control

families)

○

(A.12.1.1) ○

(controls from all

security control

families)

○

（4.3.2.3.3,

4.3.2.2.1, 4.3.2.6）

- - -

<Advanced> O -

○

(A.5.1.1, A12.1.1) - - -

<Basic> O -

○

(A.5.1.1) - - -

CPS.GV-2 ・個人情報保護法、不正競争防止法等の

国内外の法令や、業界のガイドラインを

考慮した社内ルールを策定し、法令や業

界のガイドラインの更新に合わせて継続

的かつ速やかにルールを見直す

L1_3_c_ORG,

L1_3_c_COM,

L1_3_c_SYS, L1_3_c_PRO,

L1_3_c_DAT

<High

Advanced><

Advanced><

Basic>共通 O -

○(controls from all

security control

families)

○(A.6.1.3,

A.18.1.1, A.18.1.2,

A.18.1.3, A.18.1.4,

A.18.1.5)

○

(controls from all

security control

families)

○（4.4.3.7） -

○

（Expectation 24,

Expectation 25）

-

CPS.GV-3 ・各種法令や取決め等によって要求され

るデータの保護の水準を的確に把握し、

それぞれの要求を踏まえたデータの区分

方法を整備し、ライフサイクル全体に渡

って区分に応じた適切なデータの保護を

行う

L1_1_a_SYS, L1_1_a_DAT,

L1_1_b_SYS, L3_1_a_SYS,

L3_1_a_DAT,

L3_4_a_ORG,

L3_4_a_PRO,

L3_4_b_ORG, L3_4_b_PRO

<High

Advanced><

Advanced><

Basic>共通

O ○

(3.1.22)

○

(controls from all

security control

families)

○

(A.8.2.1, A.18.1.1,

A.18.1.2, A.18.1.3,

A.18.1.4, A.18.1.5)

○

(controls from all

security control

families)

- - - ○

（PS-01）

CPS.GV-4 ・サイバーセキュリティに関するリスク

管理を適切に行うために戦略策定、リソ

ース確保を行う

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO

<High

Advanced><

Advanced>共

通

O -

○

(下記に加えて、

PM-3, PM-9)

○

(Clause 6)

○

(下記に加えて、

PM-2, PM-3)

○

（4.2.3.1, 4.2.3.3,

4.2.3.8, 4.2.3.9,

4.2.3.11, 4.3.2.4.3,

- -

○

（PS-18, PS-19） - -

61

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

4.3.2.6.3）

<Basic> O - ○

(SA-2)

○

(SA-2) - - -

CPS.RA-1 ・自組織の資産の脆弱性を特定し、文書

化する

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS

<High

Advanced> O -

○

(下記に加えて、

CA-8,

RA-5(1), RA-5(5)) ○

(A.12.6.1)

-

○

（下記に加え

て、4.2.3.7,

4.2.3.9）

- - -

<Advanced>

O - ○

(RA-5, RA-5(2))

○

（SA-5, SA-

15(4)）

○

（4.2.3.12,

4.3.4.4.5）

- -

○

（下記に加え

て、PS-05）

<Basic> O - - - - - - -

○

（TM-13）

CPS.RA-2 ・セキュリティ対応組織(SOC/CSIRT)

は、組織の内部及び外部の情報源(内部テ

スト、セキュリティ情報、セキュリティ

研究者等)から脆弱性情報/脅威情報等を

収集、分析し、対応および活用するプロ

セスを確立する

L1_2_a_ORG,

L2_1_a_ORG, L2_1_c_SYS,

L3_1_a_SYS, L3_3_a_SYS,

L3_3_d_SYS,

<High

Advanced> O -

○

(下記に加えて、

PM-15) ○

(下記に加えて、

A.6.1.4)

- - - -

○

（PS-20, PS-21.

PS-23）

<Advanced>

O -

○

(下記に加えて、

PM-16)

○

(下記に加えて、

PM-12, PM-16,

SA-15(4))

○

（4.2.3.9,

4.2.3.12）

- -

<Basic> O - ○

(SI-5)

○

(A.6.1.1)

○

(SI-5) - -

○

（Expectation 7） -

CPS.RA-3 ・自組織の資産に対する脅威を特定し、

文書化する

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS

<High

Advanced> O -

○(下記に加え、

PM-15)

○(下記に加え、

A.6.1.4) - - - - -

<Advanced>

O - ○

(PM-16) -

○

(PM-12, PM-16,

SA-15(4))

○

（4.2.3.9,

4.2.3.12）

- -

○

（下記に加え

て、PS-05）

<Basic> O - -

○

(Clause 6.1.2) - - - -

○

（TM-13）

CPS.RA-4 ・構成要素の管理におけるセキュリティ

ルールが、実装方法を含めて有効かを確

認するため、定期的にリスクアセスメン

トを実施する

・IoT 機器および IoT 機器を含んだシス

テムの企画・設計の段階から、受容でき

ない既知のセキュリティリスクの有無

を、セーフティに関するハザードの観点

も踏まえて確認する

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS,

L2_1_a_ORG

L2_1_a_PRO

L2_2_a_ORG

<High

Advanced> O - -

○

(A.12.6.1,

A.18.2.2, A.18.2.3)

- - - -

○

（PS-20） <Advanced>

O ○

(3.11.1)

○

(下記に加え、

SA-12(2))

○

(下記に加え、

SA-12(2)) ○

（4.2.3.9,

4.2.3.12）

- -

<Basic>

O - ○

(RA-3)

○

(Clause 6.1.2,

A.18.2.2, A.18.2.3)

○

(RA-1, RA-3) - - -

CPS.RA-5 ・リスクを判断する際に、脅威、脆弱

性、可能性、影響を考慮する

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS

<High

Advanced> - - - - - - - - -

<Advanced> O -

○

(RA-3)

○

(A.12.6.1) ○

(RA-3)

- - - -

<Basic> O -

○

(Clause 6.1.2) - - - -

CPS.RA-6 ・リスクアセスメントに基づき、発生し

うるセキュリティリスクに対する対応策

の内容を明確に定め、対応の範囲や優先

順位を整理した結果を文書化する

・IoT 機器および IoT 機器を含んだシス

テムの企画・設計の段階におけるアセス

メントにて判明したセキュリティおよび

関連するセーフティのリスクに対して適

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS,

L2_1_a_ORG,

L2_1_a_PRO

<High

Advanced> O - -

○

(A.5.1.2) - - - - -

<Advanced>

O ○

(3.12.4)

○

(PM-4) ○

(Clause 6.1.3,

Clause 8.3,

A.5.1.2)

○

(PM-4, PV-1, SA-

15(8))

- - - ○

（PS-05）

<Basic>

O - - - - - -

62

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

宜対応する

CPS.RM-1 ・関係者のサイバーセキュリティリスク

マネジメントの実施状況について確認す

る。また、自組織の事業に関する自組織

および関係者の責任範囲を明確化し、セ

キュリティマネジメントの実施状況を確

認するプロセスを確立し、実施する。

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO,

L1_3_b_ORG,

L1_3_c_ORG

<High

Advanced> O - - - - - -

○

（下記に加え

て、PS-24）

<Advanced> O -

○

(PM-9)

○

(Clause 9.3)

○

（CA-6）

○

（4.3.4.2） - -

○

（PS-18, PS-19）

<Basic> - - - - - - - - -

CPS.RM-2 ・リスクアセスメント結果およびサプラ

イチェーンにおける自組織の役割から自

組織におけるリスク許容度を決定する

L1_1_a_SYS, L1_1_b_SYS,

L1_1_c_SYS

<High

Advanced> O - ○

(下記に加えて、

SA-14)

- ○

(下記に加えて、

SA-14)

- - - -

<Advanced> O - ○

(Clause 6.1.3,

Clause 8.3)

○

（4.3.2.6.5）

- - ○

（PS-18）

<Basic> O -

○

(PM-8) - - - -

CPS.SC-1 ・取引関係のライフサイクルを考慮して

サプライチェーンに係るセキュリティの

対策基準を定め、責任範囲を明確化した

うえで、その内容について関係者と合意

する

L1_1_a_ORG,

L1_1_b_ORG,

L1_1_c_ORG

<High

Advanced> O -

○

(SA-9(2))

○

(下記に加え、

A.15.2.1)

○

（SA-12(12)） - - -

○

（PS-01. OP-02,

OP-06, OP-07）

<Advanced> O -

○

(SA-9)

○

(SA-9)

- - -

<Basic>

O -

○

(A.15.1.1,

A.15.1.2)

○

（4.3.4.4.1） - -

CPS.SC-2 ・自組織の事業を継続するに当たり重要

なサプライヤーを特定、優先付けをし、

評価する・機器調達時に、適切なマネジ

メントシステムが構築・運用され、問い

合わせ窓口やサポート体制等が確立され

た IoT 機器のサプライヤーを選定する・

サービスやシステムの運用において、サ

ービスマネジメントを効率的、効果的に

運営管理するサービスサプライヤーを選

定する

L1_1_a_ORG,

L1_1_b_ORG,

L1_1_c_ORG,

L2_1_a_COM,

L2_1_a_PRO, L2_1_a_DAT,

L2_3_a_ORG,

L2_3_c_ORG,

L3_1_b_ORG,

L3_3_d_ORG,

L3_1_c_ORG,

L3_3_a_ORG,

L3_3_b_ORG

<High

Advanced>

O -

○(下記に加え

て、SA-14) ○(A.15.1.1,

A.15.1.2)

○

（下記に加え

て、SA-4(5), SA-

4(7), SA-12(1)）

○

（下記に加え

て、4.2.3.3,

4.2.3.8, 4.2.3.9,

4.2.3.10）

- -

○

（OP-02, OP-03）

<Advanced>

O -

○

(下記に加えて、

SA-14, SA-12(13))

○

（4.2.3.1, 4.2.3.2,

4.2.3.4, 4.2.3.6,

4.2.3.12, 4.2.3.13,

4.2.3.14, 4.3.4.2）

- -

<Basic> O -

○

(SA-4)

○

(SA-1, SA-4) - - -

CPS.SC-3 ・外部の関係者との契約を行う場合、目

的およびリスクマネジメントの結果を考

慮し、自組織のセキュリティに関する要

求事項に対して関係する他組織のセキュ

リティマネジメントが適合していること

を確認する

L1_1_a_ORG,

L1_1_a_PRO,

L1_1_a_DAT,

L1_1_b_PRO, L1_1_c_PRO,

L1_1_d_ORG,

L2_3_c_ORG,

L3_1_b_ORG,

L3_1_b_DAT,

L3_3_d_ORG,

L3_1_c_ORG,

L3_1_c_DAT,

L3_3_a_ORG,.

L3_3_b_ORG,

L3_3_c_ORG,

L3_4_a_DAT

<High

Advanced> O -

○

(下記に加え、

SA-11)

○

(A.13.2.4,

A.15.1.2)

○

(下記に加え、

SA-4(5), SA-4(7),

SA-9(3), SA-9(4),

SA-11, SA-12(1))

- - - -

<Advanced>

O -

○

(下記に加え、

SA-4)

○

(下記に加え、

SA-1, SA-4)

○

（4.3.2.6.4,

4.3.2.6.7）

- - -

<Basic>

O - ○

(SA-9)

○

(SA-9) - -

○

（OP-02）

CPS.SC-4 ・外部の関係者との契約を行う場合、目

的およびリスクマネジメントの結果を考

慮し、自組織のセキュリティに関する要

求事項に対して関係する他組織の提供す

る製品・サービスが適合していることを

確認する

L1_1_a_ORG,

L1_1_a_DAT, L1_1_a_PRO,

L1_1_b_PRO, L1_1_c_PRO,

L1_1_d_ORG,

L1_1_d_COM,

L2_1_a_ORG,

L2_1_a_COM,

<High

Advanced> O - - ○(下記に加え、

A.14.3.1)

○

（下記に加え、

SA-19(1)）

- - -

○

（OP-02, OP-04,

OP-27）

<Advanced>

O - -

○

(A.8.3.3, A.14.1.1,

A.14.2.9, A.15.1.3)

○

（下記に加え、

SA-12(8), SA-

12(10), SA-12(11),

- - -

63

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

L2_1_a_PRO,

L2_2_a_ORG,

L2_3_a_ORG,L2_3_c_ORG,

L2_3_c_PRO,

L2_3_d_ORG,

L3_1_b_ORG,

L3_3_a_ORG,

L3_3_b_ORG,

L3_3_c_ORG,

L3_3_d_ORG

SA-18(2), SA-

19(2), SA-19(3),

SA-19(4)）

<Basic>

O - - -

○

（SA-12(2), SA-

12(7), SA-19）

- - -

CPS.SC-5 ・取引先等の関係する他組織が、契約上

の義務を果たしていることを確認するた

めに、監査、テスト結果、または他の形

式の評価を使用して定期的に評価する

L1_1_a_DAT, L1_1_a_PRO,

L1_1_b_PRO, L1_1_c_PRO,

L2_3_c_ORG,

L2_3_c_PRO,

L2_3_d_ORG,

L3_1_a_DAT,

L3_1_b_ORG,

L3_1_b_DAT,

L3_3_d_ORG,

L3_1_c_ORG,

L3_1_c_DAT,

L3_3_a_ORG,.

L3_3_b_ORG,

L3_3_c_ORG,

L3_4_a_DAT, L3_4_b_DAT

<High

Advanced> O

○

(下記に加えて、

3.3.5)

○

(下記に加えて、

AU-6(1), AU-6(3)) ○

(A.12.7.1,

A.14.3.1, A.15.2.1)

○

（下記に加え、

AU-6(9), SA-9(3),

SA-9(4)）

- - -

○

（OP-02, PS-04） <Advanced>

O ○

(3.3.1)

○

(AU-2, AU-6, AU-

12, SA-9)

○

(AU-1, AU-2, AU-

6, AU-12, PV-3,

SA-9)

○

（4.3.2.6.7,

4.3.4.3.1）

○

（SR 6.1） -

<Basic>

O - - - - - - - -

CPS.SC-6 ・取引先等の関係する他組織に対する監

査、テストの結果、契約事項に対する不

適合が発見された場合に実施すべきプロ

シージャを策定し、運用する。

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO,

L1_1_d_ORG,

L2_2_a_ORG,

L2_3_c_ORG,

L2_3_c_PRO,

L3_1_b_ORG,

L3_1_c_ORG,

L3_3_a_ORG,

L3_3_b_ORG,

L3_3_c_ORG

<High

Advanced> O - - - - - - -

○

（OP-02, OP-04）

<Advanced>

O - - -

○

（PV-3. SA-

12(10), SA-

12(11)）

- - -

<Basic>

- - - - - - - - -

CPS.SC-7 ・自組織が関係する他組織との契約上の

義務を果たしていることを証明するため

の情報(データ)を収集、安全に保管し、

必要に応じて適当な範囲で開示できるよ

うにする

L1_1_d_ORG,

L2_2_a_ORG,

L2_3_c_ORG,

L2_3_c_PRO,

L3_1_b_ORG,

L3_1_c_ORG,

L3_3_a_ORG,

L3_3_b_ORG,

L3_3_c_ORG,

L3_3_d_ORG

<High

Advanced> O - -

○(A.12.4.1,

A.18.1.3)

- - - - -

<Advanced>

O/S -

○

(下記に加えて、

AU-9,

AU-11(1))

○

（SC-28）

○

（4.3.2.6.7）

○

（SR 6.1） -

○

（OP-02） <Basic>

O - ○

(AU-11) - - -

CPS.SC-8 ・取引先等の関係する他組織の要員の

内、自組織から委託する業務に関わる者

に対するセキュリティ上の要求事項を策

定し、運用する

L1_1_a_PEO,

L1_1_b_PEO,

L1_1_c_PEO, L2_3_b_PEO,

L3_1_b_PEO,

L3_1_c_PEO

<High

Advanced> O

- ○

(PS-7)

○

(A.16.1.2,

A.16.1.5)

○

(PS-1, PS-7)

- - - -

<Advanced> O - - -

○

（OP-02）

<Basic> O - - - -

CPS.SC-9 ・サプライチェーンにおけるインシデン

ト対応活動を確実にするために、関係者

間で対応プロセスの整備と訓練を行う

L1_3_a_PEO <High

Advanced> O ○

(3.6.1, 3.6.3)

○

(下記に加えて、

IR-4, IR-4(10))

-

○

(下記に加えて、

IR-4, IR-4(10))

-

○

（下記に加え、

SR 3.3）

- -

<Advanced> O ○ ○ - ○ ○ ○ - ○

64

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

(3.6.1, 3.6.3) (CP-2, CP-2(7)) (CP-2) （4.3.2.5.7） （SR 2.8, SR 6.1,

SR 7.3, SR 7.4）

（OP-02）

<Basic> - - - - - - - - -

CPS.SC-10 ・取引先等の関係する他組織との契約が

終了する際(例：契約期間の満了、サポー

トの終了)に実施すべきプロシージャを策

定し、運用する。

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO

<High

Advanced> O - - - - - - - -

<Advanced> O - - - - - - -

○

（OP-02）

<Basic> - - - - - - - - -

CPS.SC-11 サプライチェーンに係るセキュリティ対

策基準および関係するプロシージャ等を

継続的に改善する。

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO

<High

Advanced><

Advanced><

Basic>共通

O - - - - - - - ○

（OP-02）

CPS.AC-1 ・承認されたモノとヒトおよびプロシー

ジャの識別情報と認証情報を発効、管

理、確認、取消、監査する

L1_1_a_COM,

L1_1_a_SYS,

L1_1_b_COM,

L1_1_b_SYS,

L1_1_c_COM,

L2_3_c_SYSL3_3_a_SYSL

3_1_a_SYS

<High

Advanced> O/S -

○(下記に加え、

AC-2 (1), AC-2

(2), AC-2 (3), AC-

2(4))

○(下記に加え、

A.9.2.4, A.9.2.5)

- - - -

○

（下記に加え

て、PS-03, OP-

24）

<Advanced> O -

○

(AC-2)

○

(AC-1, AC-2, AC-

24, PS-6)

- - -

○

（PS-04）

<Basic>

O -

○

(A.9.1.1, A.9.2.1,

A.9.2.2, A.9.2.6)

○

（4.3.3.5.1）

○

（SR 1.1, SR 1.2,

SR 1.3, SR 1.4, SR

1.5, SR 1.7, SR

1.8, SR 1.9 ）

○

（Expectation 8）

CPS.AC-2 ・IoT 機器、サーバ等の設置エリアの施

錠、入退室管理、生体認証等の導入、監

視カメラの設置、持ち物や体重検査等の

物理的セキュリティ対策を実施する

L1_1_a_SYS, L2_3_b_PEO,

L2_3_b_SYS, L2_3_d_SYS,

L3_1_a_SYS

<High

Advanced> O -

○

(下記に加え、PE-

4, PE-5, PE-6 (1))

○

(下記に加えて、

A11.1.1.4,

A11.2.3)

-

○

（4.3.3.3.2,

4.3.3.3.8）

-

○

（Expectation

14）

-

<Advanced>

O

○

(3.10.2, 3.10.4,

3.10.5)

○

(下記に加え、PE-

6, PE-8)

○

(下記に加え、

A.11.1.1, A.11.1.5)

○

(下記に加え、PE-

1, PE-6)

-

○

（TM-40） <Basic>

O ○

(3.10.1, 3.10.3)

○

(PE-2, PE-3, PE-8)

○

(A.9.2.6, A.11.1.2,

A.11.1.3, A.11.1.6,

A.11.2.8, A.11.2.9)

○

(PE-3) -

CPS.AC-3 ・無線接続先(ユーザーや IoT 機器、サー

バ等)を正しく認証する

L2_3_c_SYS, L3_3_a_SYS <High

Advanced>

S

○

(下記に加えて、

3.1.12, 3.1,13,

3.1.14, 3.1.15,

3.1.17, 3.1.19,

3.10.6, 3.13.12,

3.13.15)

○

(下記に加え、

AC-17(1), AC-

17(2), AC-17(3),

AC-17(4), AC-

18(1), AC-19(5))

- - -

○

（下記に加え、

SR 1.13）

- -

<Advanced>

O

○

(下記に加えて、

3.1.18)

○

(下記に加え、

AC-19)

○

(下記に加え、

A.6.2.1)

○

(下記に加え、

AC-19)

- ○

（SR 1.1, SR 1.2,

SR 2.6）

-

○

（TM-02）

<Basic> O

○

(3.1.16)

○

(AC-17, AC-18)

○

(A.6.2.2)

○

(AC-17, AC-18) -

○

（TM-33）

CPS.AC-4 ・一定回数以上のログイン認証失敗によ

るロックアウトや、安全性が確保できる

まで再ログインの間隔をあける機能を実

装する等により、IoT 機器、サーバ等に

対する不正ログインを防ぐ

L2_1_b_SYS, L3_3_a_SYS <High

Advanced> S

○

(3.1.8) ○

(AC-7)

○

(A.9.4.2)

- - ○

（SR 1.11） - -

<Advanced>

S ○

(3.1.8) - -

○

（SR 1.11, SR

1.13, SR 2.6）

○

（Expectation

13）

○

（PS-03, TM-26,

TM-38） <Basic> O/S - - - - - -

CPS.AC-5 ・ユーザーが利用する機能と、システム L1_1_b_SYS, L2_1_c_SYS, <High O/S ○(下記に加え ○(下記に加え、 ○(A.6.1.2, A.9.2.3, ○（AC-3(8), AC- - - - -

65

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

管理者が利用する機能を分離する L3_1_a_SYS Advanced> て、3.1.6, 3.1.7) AC-6(1), AC-6(2),

AC-6(5), AC-6(9),

AC-6(10))

A.9.4.1, A.9.4.4) 3(9), AC-6(6)）

<Advanced>

O

○

(3.1.4, 3.1.5,

3.13.3)

○

(AC-3, AC-5, AC-

6, SC-2)

○

(AC-3, AC-5, AC-

6)

- -

○

（下記に加え、

Expectation 12） ○

（PS-10, OP-24,

OP-25, TM-26） <Basic>

O - - - - - ○

（SR 2.1）

○

（Expectation

13）

CPS.AC-6 ・特権を持つユーザーのシステムへのへ

のネットワーク経由でのログインに対し

て、二つ以上の認証機能を組み合わせた

多要素認証を採用する

L1_1_a_SYS,

L1_1_b_SYS, L2_1_c_SYS,

L3_1_a_SYS

<High

Advanced> S

○

(下記に加えて、

3.5.4)

○

(下記に加え、IA-

2(2), IA-2(8), IA-

2(9))

○

(下記に加えて、

A.9.1.2, A.9.2.3,

A.9.4.1, A.9.4.4)

- -

○

（SR 2.1）

-

○

（下記に加え

て、TM-20）

<Advanced>

S

○

(下記に加えて、

3.5.3)

○

(下記に加え、IA-

2(1), IA-2(3))

○

（下記に加え、

IA-1）

- - ○

（TM-33, TM-

34） <Basic> O/S

○

(3.5.1)

○

(IA-2)

○

(A.9.2.1)

○

(IA-2) - -

CPS.AC-7 ・適宜ネットワークを分離する(例：開

発・テスト環境と実運用環境、IoT 機器

を含む環境と組織内の他の環境)等してネ

ットワークの完全性を保護する

L2_1_b_SYS, L3_1_a_DAT <High

Advanced> S

○

(下記に加えて、

3.1.3, 3.13.6,

3.13.7)

○

(下記に加え、

SC-7(5), SC-7(7)) ○

(下記に加え、

A.13.1.1, A.13.1.3,

A.14.1.2, A.14.1.3)

- - - -

○

（OP-25, TM-

44）

<Advanced>

O/S -

○

(下記に加え、

SC-7)

○

(下記に加え、

SC-7, AC-4(6),

AC-4(17), AC-

4(19))

○

（4.3.3.4.2,

4.3.3.4.3） ○

（SR 3.1, SR

3.8）

-

○

（PS-10, TM-32）

<Basic>

O/S ○

(3.1.3)

○

(AC-4)

○

(A.12.1.4,

A.13.2.1)

○

(AC-4)

○

（4.3.3.4.1） -

CPS.AC-8 ・IoT 機器、サーバ等がサイバー空間で

得られた分析結果を受信する際、及び

IoT 機器、サーバ等が生成した情報(デー

タ)をサイバー空間へ送信する際、双方が

それぞれ接続相手の ID(識別子)を利用し

て、接続相手を識別し、認証する

・IoT 機器での通信は、通信を拒否する

ことをデフォルトとし、例外として利用

するプロトコルを許可する

L2_1_b_SYS,

L3_3_a_SYS

<High

Advanced><

Advanced><

Basic>共通

O/S ○

(3.5.5, 3.5.6, 3.8.2)

○

(IA-4)

○

(A.7.1.1, A.9.2.1)

○

(IA-4, IA-4(6),

SA-12(14))

○

（4.3.3.2.2,

4.3.3.5.2, 4.3.3.7.2,

4.3.3.7.3）

○

（SR 1.1, SR 1.2,

SR 1.4, SR 1.5, SR

1.9, SR 2.1）

○

（Expectation 8,

Expectation 10,

Expectation 11）

○

（PS-08, TM-02,

TM-45, TM-47）

CPS.AC-9 ・IoT 機器やユーザーを、取引のリスク

(個人のセキュリティ、プライバシーのリ

スク、及びその他の組織的なリスク)に見

合う形で認証する

L1_1_b_SYS,

L2_1_b_SYSL3_1_a_SYS

<High

Advanced> S ○(下記に加え

て、3.1.11)

○(下記に加え、

IA-2, IA-5(2), AC-

12)

○(A.9.3.1, A.9.4.3,

A.9.4.5)

○

(下記に加え、IA-

2, IA-5(5), IA-

5(9))

○

（下記に加え、

4.3.3.6.3, 4.3.3.6.5,

4.3.3.6.7）

○

（下記に加え、

SR 1.9）

- -

<Advanced>

O/S

○

(3.1.1, 3.1.2, 3.1.9,

3.1.10, 3.5.2, 3.5.7,

3.5.8, 3.5.9, 3.5.10,

3.5.11)

○

(IA-5, IA-5(1), IA-

6, AC-8, AC-11,

AC-11(1))

○

(IA-1, IA-5)

○

（4.3.3.6.1,

4.3.3.6.2, 4.3.3.6.4,

4.3.3.6.6, 4.3.3.6.8,

4.3.3.6.9）

○

（SR 1.1, SR 1.2,

SR 1.5, SR 1.7, SR

1.8, SR 1.10）

○

（Expectation 8,

Expectation 10,

Expectation 11,

Expectation 22）

○

（PS-06, PS-09）

<Basic> - - - - - - - - -

CPS.AT-1 ・自組織の全ての要員に対して、セキュ

リティインシデントの発生と影響を抑制

L1_1_a_PEO,

L1_1_b_PEO,

L1_1_c_PEO,

<High

Advanced> O

○

(下記に加えて、

3.2.3)

○

(下記に加え、

AT-2(2))

○

(A.7.2.1, A.7.2.2) - - - - -

66

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

するために割り当てられた役割と責任を

遂行するための適切な訓練、教育を実施

する

L1_1_d_PEO, L1_2_a_PEO,

L1_3_b_PEO,

L3_4_a_PEO

<Advanced>

O ○

(3.2.1)

○

(下記に加え、

AT-3)

○

(AT-1, AT-3, AT-

3(2))

○

（4.3.2.3.4,

4.3.2.4.1, 4.3.2.4.2,

4.3.4.5.4）

- - ○

（OP-08, OP-19,

OP-20, OP-22） <Basic> O -

○

(AT-2) - - -

CPS.AT-2 ・自組織におけるセキュリティインシデ

ントに関係しうる関係組織の担当者に対

して、割り当てられた役割を遂行するた

めの適切な訓練(トレーニング)、セキュ

リティ教育を実施する

L1_3_c_PEO, L3_3_a_PEO <High

Advanced> O - - - - - - -

<Advanced>

O

○

(下記に加え、

3.2.2)

- - -

○

（下記に加え、

4.3.2.4.3）

- -

○

（OP-19） <Basic>

O ○

(3.2.1) - - -

○

（4,3,2,4,1,

4.3.2.4.2）

- -

CPS.DS-1 ・情報(データ)を適切な強度の方式で暗

号化して保管する

L1_1_a_DAT,

L1_1_a_SYS,

L3_1_a_SYS, L3_3_d_SYS

<High

Advanced> O/S

○

(下記に加え、

3.8.6, 3.13.11,

3.13.8)

○

（下記に加え SC-

12(1)）

○（A.8.2.3)

- - -

○

（Expectation

19）

○

（TM-05, TM-22,

TM-25, TM-49)

<Advanced>

O/S

○

(下記に加え、

3.13.16)

○

（下記に加え SC-

28）

○

（AC-4(21)） - ○

（SR 3.4, SR

4.1） <Basic> O/S

○

(3.13.10)

○

（SC-12） - -

CPS.DS-2 ・IoT 機器、サーバ等の間、サイバー空

間で通信が行われる際、通信経路を暗号

化する

L1_1_a_SYS, L1_1_b_DAT,

L3_1_a_SYS, L3_2_b_DAT,

L3_3_d_SYS,

<High

Advanced> S ○(3.13.15)

○(下記に加えて

SC-12(1)) ○(A.10.1.1,A.13.2.

1, A.13.2.3,

A.14.1.2)

○

(SC-1, SC-8)

- ○

（SR 3.1, SR 3.8,

SR 4.1, SR 4.2, SR

4.3）

○

（Expectation

21）

○

（TM-05, TM-19,

TM-25, TM-41

TM-49)

<Advanced> S

○

(3.13.15) ○(SC-8(1), SC-12) -

<Basic> - - - - - - - - -

CPS.DS-3 ・情報(データ)を送受信する際に、情報

(データ)そのものを暗号化して送受信す

る

L1_1_a_SYS,

L1_1_b_DAT, L3_1_a_SYS,

L3_2_b_DAT, L3_3_d_SYS

<High

Advanced> S - -

○

(A.10.1.1,

A.13.2.1, A.13.2.3,

A.14.1.2)

- - ○

（SR 3.1, SR 3.8,

SR 4.1, SR 4.2, SR

4.3）

○

（Expectation

21）

○

（TM-05, TM-19,

TM-25, TM-49) <Advanced>

S - ○ (SC-8(1)) ○

(SC-8, AC-4(21)) -

<Basic> - - - - - - - - -

CPS.DS-4 ・送受信データ、保管データの暗号化等

に用いる鍵を、ライフサイクルを通じて

安全に管理する。

L1_1_a_DAT, L3_1_a_SYS <High

Advanced> O/S -

○

(下記に加え、

SC-12(1)) ○ (A10.1.2)

- - - - ○

（PS-01, TM-05,

TM-25, TM-49) <Advanced> O

○

(3.13.10)

○

(SC-12)

○

（SA-13）

- ○

（SR 1.9, SR

4.3）

-

<Basic> O - -

CPS.DS-5 ・サービス拒否攻撃等のサイバー攻撃を

受けた場合でも、サービス活動を停止し

ないよう、モノ、システムに十分なリソ

ース(処理能力、通信帯域、ストレージ容

量)を確保する

L2_1_d_SYS, L1_1_c_SYS,

L3_3_c_SYS

<High

Advanced><

Advanced>共

通

S -

○

（下記に加えて

SC-5(2)、SC-5(3))

○

（下記に加え

て、A.12.1.3）

○

（下記に加え

て、SC-1, SC-4,

SC-5(2), SC-37(1))

- ○

（SR 5.2）

- ○

（TM-22)

<Basic> S - ○（SC-5) ○

（A.17.2.1)

○

（SC-5) - - -

CPS.DS-6 ・IoT 機器、通信機器、回線等に対し、

定期的な品質管理、予備機や無停電電源

装置の確保、冗長化、故障の検知、交換

作業、ソフトウェアの更新を行う

L2_1_d_SYS, L1_1_c_SYS,

L1_3_b_SYS,

L3_3_c_SYS,

L3_3_d_SYS

<High

Advanced><

Advanced>共

通

O - ○（PE-11）

○

（A.11.2.2、

A.11.2.3、

A.11.2.4、

A.12.1.3,

A.17.2.1）

- - ○

（SR 5.2） -

○

（TM-27）

<Basic> O - - ○

（SA-13） - - - -

CPS.DS-7 ・保護すべき情報を扱う、あるいは自組

織にとって重要な機能を有する機器を調

L1_1_d_COM,

L2_3_b_COM

<High

Advanced> O - ○（SC-12) ○（A.10.1.2)

○（SA-18, SA-

18(1), SA-18(2)） -

○

（SR 5.2） - -

67

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

達する場合、耐タンパーデバイスを利用

する

<Advanced> - - - - - - - - -

<Basic> - - - - - - - - -

CPS.DS-8 ・自組織の保護すべきデータが不適切な

エンティティに渡ったことを検知した場

合、ファイル閲覧停止等の適切な対応を

実施する

L1_1_a_DAT, L3_1_a_SYS <High

Advanced> S ○

(3.13.4)

○

（下記に加え

て、IR-4(1)） ○

(A.16.1.5)

- - - - -

<Advanced>

O/S - ○

（IR-4）

○

（IR-4） -

○

（SR 5.2）

○

（Expectation

12）

-

<Basic> - - - - - - - - -

CPS.DS-9 ・IoT 機器、サーバ等の起動時に、起動

するソフトウェアの完全性を検証し、不

正なソフトウェアの起動を防止する

L2_3_b_SYS <High

Advanced> O/S -

○

(下記に加えて、

SI-7(2),

SI-7(7)) ○

(A.12.2.1)

- - - ○

（Expectation

17）

○

（TM-01)

<Advanced>

O/S - ○

(SI-7, SI-7(1))

○

(SI-1, SI-7, SA-13) -

○

（SR 3.1, SR 3.3,

SR 3.4, SR 3.8）

-

<Basic> - - - - - - - - -

CPS.DS-10 ・送受信・保管する情報(データ)に完全

性チェックメカニズムを使用する

L1_1_b_DAT,

L1_1_d_PRO,

L3_2_a_DAT, L3_2_b_DAT

<High

Advanced> O -

○

(下記に加えて、

SI-7(7)) ○

(A.14.1.2,

A.14.1.3)

- - - - -

<Advanced>

O/S - ○

(SI-7, SI-7(1))

○

(SI-1, SI-7, SA-13) -

○

（SR 3.1, SR 3.3,

SR 3.4, SR 3.8）

○

（Expectation

17）

-

<Basic> - - - - - - - - -

CPS.DS-11 ・ハードウェアの完全性を検証するため

に整合性チェックメカニズムを使用する

L1_1_d_PRO, L2_3_b_SYS <High

Advanced> O - - - - - - - -

<Advanced>

O - ○

(PE-6, SA-10(3)) -

○

(PE-3(5), PE-6,

SA-13)

○

（4.3.4.4.4） - - -

<Basic> - - - - - - - - -

CPS.DS-12 ・IoT 機器やソフトウェアが正規品であ

ることを定期的(起動時等)に確認する

L1_1_d_PRO,

L2_3_c_ORG, L2_3_c_SYS

<High

Advanced><

Advanced>共

通

O - - - - - - - -

<Basic> O - - - - - - - -

CPS.DS-13 ・データの取得元、加工履歴等をライフ

サイクルの全体に渡って維持・更新・管

理する

L3_4_a_PRO <High

Advanced> O - - - - - - - -

<Advanced> O - - - - - - - ○

（PS-01） <Basic> O - - - - - - -

CPS.DS-14 ・計測の可用性、完全性保護によるセン

シングデータの信頼性確保のために、計

測セキュリティの観点が考慮された IoT

機器を利用する

L2_1_a_ORG,

L2_1_a_COM, L2_1_a_PRO

L2_3_a_ORG,

L2_3_d_ORG

<High

Advanced><

Advanced>共

通

O ○

(SC-5, SC-6, SI-7) -

○

(SC-4, SC-5, SI-7,

SI-12)

- - - -

<Basic> - - - - - - - - -

CPS.DS-15 ・組織間で保護すべきデータを交換する

場合、当該データの保護に係るセキュリ

ティ要件について、事前に組織間で取り

決める

L1_1_a_DAT,

L1_1_a_ORG, L3_1_a_SYS,

L3_4_a_DAT

<High

Advanced><

Advanced>共

通

O - - - - - - - ○

（OP-26）

<Basic> O - - - - - - - -

CPS.IP-1 ・IoT 機器、サーバ等の初期設定手順(パ

スワード等)及び設定変更管理プロセスを

L2_1_a_ORG,

L2_1_a_DAT,

L2_1_b_PRO,

<High

Advanced> O -

○

(下記に加え、

CM-3(2))

○

(A.12.1.2,

A.12.5.1)

○

（下記に加え、

CM-6(1), CM-

- ○

（SR 7.6） -

○

（PS-16, TM-35,

68

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

導入し、運用する L2_3_b_ORG 6(2), PV-1） TM-56, TM-57）

<Advanced>

O

○

(下記に加えて、

3.4.3,

3.4.4, 3.4.5)

○

(下記に加え、

CM-3, CM-4, CM-

5)

○

(下記に加え、

CM-3, CM-4, CM-

5)

○

（4.3.4.3.2,

4.3.4.3.3）

○

（Expectation 5,

Expectation 6） <Basic>

O ○

(3.4.2)

○

(CM-6)

○

(CM-6) - -

CPS.IP-2 ・IoT 機器、サーバ等の導入後に、追加

するソフトウェアを制限する

L1_1_a_SYS, L2_1_a_ORG,

L2_1_c_SYS, L3_3_d_SYS,

L3_1_a_SYS, L3_3_a_SYS

<High

Advanced> O/S

○

(下記に加えて、

3.4.8)

○

(下記に加え、

CM-7(4), CM7-

(5))

○

(下記に加えて、

A.12.5.1)

○

(下記に加え、

CM-7(4), CM-

7(5))

- - - -

<Advanced> O/S

○

(3.4.9)

○

(CM-11) ○

(A.12.6.2)

○

(CM-11) ○

（4.3.4.3.2,

4.3.4.3.3）

- ○

（Expectation 5,

Expectation 6）

-

<Basic> O - - -

○

（SR 7.6） -

CPS.IP-3 ・システムを管理するためのシステム開

発ライフサイクルを導入し、定めた各段

階におけるセキュリティに関わる要求事

項を明確化する

L1_1_a_ORG,

L1_1_b_ORG,

L1_1_c_ORG

<High

Advanced> O - ○(下記に加え、

SA-4) ○(下記に加え、

A.6.1.5, A.14.2.2,

A.14.2.5)

○

(下記に加え、

SA-4)

- - - -

<Advanced>

O -

○

(下記に加え、

SA-3)

○

(下記に加え、

SA-3) ○

（4.3.4.3.3）

○

（SR 7.3, SR

7.4）

-

○

（PS-01, OP-01） <Basic>

O ○

(3.13.2)

○

(SA-8)

○

(A.14.1.1,

A.14.2.1, A.14.2.6)

○

(SA-8) -

CPS.IP-4 ・構成要素(IoT 機器、通信機器、回線等)

に対し、定期的なシステムバックアップ

を実施し、テストしている

L2_1_d_SYS, L3_3_c_SYS <High

Advanced> O -

○

(下記に加えて、

CP-9(1))

○

(下記に加え、

A.14.3.1)

-

○

（4.3.4.3.9）

-

○

（Expectation

20）

○

（OP-17）

<Advanced>

O ○

(3.8.9)

○

(CP-9)

○

(下記に加え、

A.18.1.3)

- - -

<Basic> O

○

(A.12.3.1) - - -

CPS.IP-5 ・無停電電源装置、防火設備の確保、浸

水からの保護等、自組織の IoT 機器、サ

ーバ等の物理的な動作環境に関するポリ

シーや規則を満たすよう物理的な対策を

実施する

L1_1_a_SYS,

L2_3_b_SYS,

L2_3_d_SYS, L3_1_a_SYS

<High

Advanced> O

-

○

(下記に加え、PE-

13, PE-15)

○

(A.11.1.4,

A.11.2.1, A.11.2.2)

- - - - -

<Advanced>

O -

○

（4.3.3.3.1,

4.3.3.3.2, 4.3.3.3.3,

4.3.3.3.5,

4.3.3.3.6）

- - -

<Basic> O -

○

(PE-14) - - - - -

CPS.IP-6 ・IoT 機器、サーバ等の廃棄時には、内

部に保存されているデータ及び、正規

IoT 機器、サーバ等を一意に識別するデ

ータ ID(識別子)や重要情報(秘密鍵、電子

証明書等)を削除又は読み取りできない状

態にする

L2_3_b_DAT <High

Advanced> O

○

(3.8.3)

○

(MP-6)

○

(下記に加え、

A.8.2.3) ○

(PE-16, MP-6)

-

○

（SR 4.2）

- -

<Advanced> O ○

(A.8.3.1, A.8.3.2,

A.11.2.7)

- - -

<Basic>

O -

○

（Expectation 8,

Expectation 19）

-

CPS.IP-7 ・セキュリティインシデントへの対応、

内部及び外部からの攻撃に関する監視/測

定/評価結果から教訓を導き出し、資産を

保護するプロセスを改善している

L1_1_a_PRO, L1_1_b_PRO,

L1_1_c_PRO, L2_1_a_COM

<High

Advanced> O - ○(下記に加え、

CA-2(1))

○(A.16.1.6,

A.18.2.1, Clause

9.1, Clause 9.2,

Clause 10.1,

Clause 10.2)

- - - -

○

（下記に加え

て、PS-13）

<Advanced> O

○

(3.12.1)

○

(CA-2)

○

(AU-13, CA-2,

○

（4.4.3.2, 4.4.3.3, - -

○

（PS-11)

69

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

<Basic>

O

CA-2(2)) 4.4.3.4, 4.4.3.5,

4.4.3.6, 4.4.3.7,

4.4.3.8）

- - -

CPS.IP-8 ・保護技術の有効性について、適切なパ

ートナーとの間で情報を共有する

L2_1_a_COM <High

Advanced> O ○

(3.14.4)

○

(AC-21) ○

(A.16.1.6)

○

(AC-21)

- - - -

<Advanced> O - - - -

<Basic> O - - - - - - -

CPS.IP-9 ・人の異動に伴い生じる役割の変更に対

応した対策にサイバーセキュリティ

（例：アクセス権限の無効化、従業員に

対する審査）を含めている

L1_1_a_PEO, L1_1_b_PEO,

L1_1_c_PEO,

<High

Advanced> O

○

(下記に加えて、

3.9.1 3.9.2)

○

(下記に加え、PS-

3, PS-4)

○

(下記に加え、

A.7.2.3, A.7.3.1)

-

○

（下記に加え、

4.3.3.2.3）

- - -

<Advanced>

O

○

(下記に加えて、

3.9.2)

○

(下記に加え、PS-

5)

○

(A.7.1.1, A.7.1.2,

A.7.2.1, A.8.1.4)

○

（PS-6）

○

（4.3.3.2.1,

4.3.3.2.2,

4.3.4.4.2）

- - ○

（TM-36） <Basic>

O ○

(3.9.1 3.9.2)

○

(PS-3, PS-4) - -

CPS.IP-10 ・脆弱性管理計画を作成し、計画に沿っ

て構成要素の脆弱性を修正する

L1_1_a_SYS,

L2_1_a_COM,

L2_1_c_SYS,

L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> O -

○

(下記に加え、SI-

2(2)) ○

(下記に加え、

A.14.2.3)

- - - - -

<Advanced>

O ○

(3.14.3)

○

(SI-2)

○

(下記に加え、SI-

2, SI-2(5), PM-1,

SA-12(15))

- - - ○

（OP-14, OP-15,

OP-16) <Basic>

O - - ○

(A.12.6.1)

○

（PL-1, PL-2） - -

○

（Expectation 6）

CPS.MA-1 ・IoT 機器、サーバ等のセキュリティ上

重要なアップデート等を必要なタイミン

グで適切に実施する方法を検討し、適用

する・可能であれば、遠隔地からの操作

によってソフトウェア(OS、ドライバ、

アプリケーション)を一括して更新するリ

モートアップデートの仕組みを備えた

IoT 機器を導入する

L1_1_a_SYS,

L2_1_a_COM,

L2_1_c_SYS, L3_3_d_SYS,

L3_1_a_SYS, L3_3_a_SYS

<High

Advanced> O

○(3.7.1, 3.7.2,

3.7.4)

○(下記に加え、

MA-3, MA-3(1),

MA-3(2)) ○(下記に加え、

A.11.2.4, A.11.2.5,

A.11.2.6, A.14.2.4)

○

(下記に加え、

MA-2(2), MA-3,

MA-3(1), MA-

3(2))

○（4.3.3.3.7）

- - -

<Advanced>

O

○

(下記に加えて、

3.7.1, 3.7.2, 3.7.4)

○

(下記に加え、

MA-2)

○

(下記に加え、

MA-2, MA-3(3),

MA-6, MA-7, AC-

17(6))

- ○

（Expectation 5） ○

（TM-27, TM-28,

TM-29) <Basic>

O ○

(3.7.6)

○

(MA-5)

○

(A.11.1.2)

○

(NA-1, MA-5, AC-

17)

- -

CPS.MA-2 ・自組織の IoT 機器、サーバ等に対する

遠隔保守は、承認を得て、ログを記録

し、不正アクセスを防げる形で実施して

いる

L1_1_a_SYS,

L2_1_a_COM,

L2_1_c_SYS, L3_3_d_SYS,

L3_1_a_SYS, L3_3_a_SYS

<High

Advanced> O -

○

(下記に加え、

MA-4(2))

○

(下記に加え、

A.15.1.1)

○

(下記に加え、

MA-4(2), MA-

4(3))

- - - ○

（TM-51)

<Advanced> O/S

○

(3.7.5)

○

(MA-4)

○

(A.11.2.4,

A.15.2.1)

○

(MA-4)

- - - -

<Basic>

O/S

○

（4.3.3.6.5,

4.3.3.6.6, 4.3.3.6.7,

4.3.3.6.8）

-

○

（Expectation

13）

-

CPS.PT-1 ・セキュリティインシデントを適切に検

知するため、監査記録／ログ記録の対象

を決定、文書化し、そうした記録を実施

して、レビューしている

L1_1_a_SYS,

L2_1_b_ORG,

L3_3_d_SYS, L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> O/S

○

(下記に加えて、

3.3.7)

○

(下記に加えて、

AU-6(1),

AU-11(1))

○

(下記に加えて、

A.12.4.4)

-

○

（下記に加え、

4.4.2.4）

○

（下記に加え、

SR 2.10）

- -

<Advanced>

O/S

○

(下記に加えて、

3.3.4, 3.3.8, 3.3.9)

○

(下記に加えて、

AU-9(3),

○

(下記に加えて、

A.12.4.2)

-

○

（4.3.4.4.7,

4.4.2.1, 4.4.2.2,

○

（SR 2.8, SR 2.9,

SR 2.11, SR

-

○

（PS-05, TM-24,

TM-52)

70

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

AU-9(4)) 4.3.3.3.9,

4.3.3.5.8）

2.12）

<Basic>

O/S ○

(3.3.1, 3.3.2, 3.3.3)

○

(AU-2, AU-3, AU-

6, AU-11)

○

(A.12.4.1,

A.12.4.3, A.12.7.1)

○

(AU-2, AU-6, SA-

5)

○

（Expectation 15,

Expectation 16）

CPS.PT-2 ・IoT 機器、サーバ等の本体に対して、

不要なネットワークポート、USB、シリ

アルポート等を物理的に閉塞する

L1_1_a_SYS, L1_1_c_SYS,

L2_1_b_COM,

L2_3_b_SYS, L3_1_a_SYS,

<High

Advanced> O/S ○(下記に加え

て、3.4.7, 3.4.8)

○(下記に加え

て、CM-7(2),

CM-7(4))

○(A.8.2.2, A.8.3.1)

○

(下記に加えて、

CM-7(4))

- -

○（Expectation

14）

-

<Advanced>

O

○

(下記に加えて、

3.4.6)

○

(下記に加えて、

CM-7)

○

(CM-7) ○

（4.3.3.5,

4.3.3.7）

- -

<Basic>

O ○

(3.8.1, 3.8.4)

○

(MP-2, MP-3, MP-

4)

-

○

（SR 2.3, SR

7.7）

○

（PS-17)

CPS.PT-3 ・ネットワークにつながることを踏まえ

た安全性を実装する IoT 機器を導入する

L2_2_a_ORG <High

Advanced> O - -

○

(A.16.1.6) - - - - -

<Advanced>

O - - - - -

○

（SR 7.1, SR

7.2）

- ○

（PS-02）

<Basic> - - - - - - - - -

CPS.AE-1 ・ネットワーク運用のベースラインと、

ヒト、モノ、システム間の予測されるデ

ータの流れを特定し、管理するプロシー

ジャを確立し、実施する

L1_1_a_COM,

L1_1_b_COM

L1_1_c_COM L1_1_a_SYS,

L1_3_a_ORG,

L1_3_b_ORG,

L2_1_b_ORG,

L3_3_d_SYS, L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> O/S

○

(下記に加えて、

3.1.3, 3.14.1,

3.14.6, 3.14.7)

○

(下記に加えて、

AC-4,

CM-2(2), SI-4, SI-

4(13))

-

○

(下記に加えて、

AC-4, SI-4, PC-

2(1))

- - - -

<Advanced>

O -

○

(下記に加えて、

CA-3)

-

○

(下記に加えて、

CA-3) ○

（4.4.3.3）

- -

○

（TM-06, TM-50,

TM-54)

<Basic>

O ○

(3.4.1)

○

(CM-2) -

○

(CM-2, PV-2, SC-

38)

- - -

CPS.AE-2 ・セキュリティ管理責任者を任命し、セ

キュリティ対策組織(SOC/CSIRT)を立ち

上げ、組織内でセキュリティインシデン

トを検知・分析・対応する体制を整える

L1_2_a_ORG <High

Advanced> O/S -

○(上記に加え

て、SI-4(2), SI-

4(5))

○(下記に加え

て、A.12.4.1,

A.16.1.5)

- - - - ○（下記に加え

て、TM-51）

<Advanced>

O/S

○

(3.6.1, 3.12.2,

3.14.6, 3.14.7)

○

(CA-7, IR-4, SI-4)

○

(CA-7, IR-1, IR-4,

SI-4)

○

（4.3.4.5.6,

4.3.4.5.7,

4.3.4.5.8）

○

（SR 2.8, SR 2.9,

SR 2.10, SR

2.11, SR 2.12, SR

3.9, SR 6.1, SR

6.2）

-

○

（PS-21, OP-11,

OP-13)

<Basic> O - -

○

(A.6.1.1) - - - - -

CPS.AE-3 ・セキュリティインシデントの相関の分

析、及び外部の脅威情報と比較した分析

を行う手順を実装することで、セキュリ

ティインシデントを正確に特定する

L1_2_a_SYS <High

Advanced> O

○

(下記に加えて、

3.14.4)

○

(下記に加え、

CA-7(3)) ○

(A.12.4.1)

○

(下記に加え、

CA-7(3))

- - -

○

（下記に加えて,

TM-51）

<Advanced>

S ○

(3.12.3)

○

(CA-7)

○

(CA-7, PL-8)

- ○

（SR 6.1）

○

（Expectation

18）

○

（PS-21, PS-23）

<Basic> O - - - -

CPS.AE-4 ・関係する他組織への影響を含めてセキ

ュリティインシデントがもたらす影響を

特定している

L1_3_a_PRO <High

Advanced> O/S - -

○

(下記に加えて、

A.16.1.6)

- - - - ○

（OP-13） <Advanced>

O ○

(3.6.1)

○

(IR-4, IR-4(8))

○

(A.6.1.4)

○

(IR-1, IR-4) - - -

71

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

<Basic> - - - - - - - - -

CPS.AE-5 ・セキュリティインシデントの危険度の

判定基準を定める

L1_2_a_PRO <High

Advanced> O - ○(下記に加え、

CP-2(8), IR-5(1))

○(A.16.1.4)

○

(下記に加え、

CP-2(8))

○

（4.2.3.10） - - -

<Advanced>

O -

○

(下記に加え、

CP-2)

○

(CP-2) - - - -

<Basic> O -

○

(IR-8) - - - - -

CPS.CM-1 ・組織内のネットワークと広域ネットワ

ークの接点において、ネットワーク監

視・アクセス監視を実施する

L1_1_a_SYS, L1_1_c_SYS,

L1_2_a_SYS, L2_1_b_ORG,

L3_3_d_SYS, L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> S

○

(下記に加えて、

3.13.13, 3.13.14)

○

(下記に加えて、

SC-7(8))

-

○

（下記に加え、

SC-7(13)）

- - - -

<Advanced>

O/S

○

(下記に加えて、

3.13.6)

○

(下記に加えて、

SC-7(4),

SC-7(5))

- ○

(SC-7)

- ○

（SR 6.2）

○

（Expectation

17）

○

（PS-13, TM-24,

TM-42） <Basic>

S ○

(3.13.1, 3.13.5)

○

(SC-7) - -

CPS.CM-2 ・IoT 機器、サーバ等の重要性を考慮

し、適切な物理的アクセスの設定および

記録、監視を実施する

L1_1_a_SYS, L2_3_b_SYS

L2_3_d_SYS, L3_1_a_SYS

<High

Advanced> O -

○

(下記に加えて、

PE-20)

- - - - -

○

（下記に加え

て、TM-53）

<Advanced> O ○

(3.10.4, 3.10.5)

○

(PE-3, PE-6)

○

[A.11.1.1,

A.11.1.2, A.11.1.3]

○

(PE-1, PE-3, PE-6)

- - - ○

（PS-13, TM-24,

TM-403）

<Basic> O - - -

CPS.CM-3 ・指示された動作内容と実際の動作結果

を比較して、異常の検知や動作の停止を

行う IoT 機器を導入する・サイバー空間

から受ける情報(データ)が許容範囲内で

あることを動作前に検証する

L2_2_a_COM,

L3_3_a_DAT, L3_3_d_SYS

<High

Advanced> S

○(下記に加え

て、3.14.4,

3.14.5)

○(下記に加え、

SI-10, SI-15)

○(A.12.2.1)

- -

○

（SR 3.2）

- -

<Advanced>

S ○

(3.14.2, 3.14.3)

○

(SI-3) - -

○

（Expectation

17）

○

（PS-07, PS-08）

<Basic> - - - - - - - - -

CPS.CM-4 ・サイバー空間から受ける情報(データ)

の完全性および真正性を動作前に確認す

る

L3_3_a_DAT, L3_3_d_SYS <High

Advanced> S

○

(下記に加えて、

3.14.5)

○

(下記に加えて、

SI-10(5)) ○

(A.13.2.1,

A13.2.3)

- -

○

（SR 3.2）

- -

<Advanced>

S ○

(3.14.5)

○

(SI-7)

○

(SC=28, SI-7) -

○

（Expectation

17）

-

<Basic> - - - - - - - - -

CPS.CM-5 ・セキュリティ事象を適切に検知できる

よう、外部サービスプロバイダとの通信

内容をモニタリングする

L1_1_a_COM,

L1_1_b_COM

L1_1_c_COM L1_1_a_SYS,

L1_3_a_ORG,

L1_3_b_ORG,

L3_3_d_SYS, L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> O/S -

○

(下記に加えて、

SA-9(2)) ○

(下記に加えて、

A.13.1.2, A.15.2.2)

○

（下記に加え、

SI-4(17)）

- - - -

<Advanced>

O/S ○

（3.14.6, 3.14.7)

○

(下記に加えて、

PS-7, SI-4)

○

(下記に加えて、

PS-7, SC-37(1),

SI-4)

- - - -

<Basic> O -

○

(SA-9)

○

(A.14.2.7)

○

(SC-1, SA-9) - - - -

CPS.CM-6 ・機器等の構成管理では、ソフトウェア

構成情報、ネットワーク接続状況(ネット

ワーク接続の有無、アクセス先等)および

他のソシキ、ヒト、モノ、システムとの

L1_1_a_COM,

L1_1_a_SYS,

L1_1_b_COM

L1_1_c_COM

L1_3_a_ORG,

<High

Advanced> O/S - ○(下記に加え

て、CM-8(3))

○

（下記に加え、

SI-4(17), SI-

4(19)）

- - - -

<Advanced> O/S ○ ○ ○ - - - ○

72

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

データの送受信状況について、継続的に

把握する

L1_3_b_ORG,

L2_1_a_ORG,

L2_3_b_ORG,

L2_1_c_ORG, L2_1_c_SYS,

L3_1_a_SYS, L3_3_a_SYS

（下記に加え

て、3.4.1, 3.4.3,

3.13.9, 3.14.6,

3.14.7)

(下記に加えて、

CM-3,

CM-8(1), SC-7(4),

SC-7(5), SI-4)

(下記に加えて、

CA-3, CA-3(5),

CM-1, CM-3, CM-

8(1), CM-9(1), SI-

4)

（TM-55）

<Basic>

O ○

(3.4.1)

○

(CM-8) ○

(CM-8, CM-9) - -

○

（Expectation

16）

-

CPS.CM-7 ・自組織の管理している IoT 機器、サー

バ等に対して、定期的に対処が必要な脆

弱性の有無を確認する

L1_1_a_SYS, L3_3_d_SYS,

L3_1_a_SYS, L3_3_a_SYS

<High

Advanced> O

○

(下記に加えて、

3.11.2)

○

(下記に加えて、

RA-5(1),

RA-5(2), RA-5(5)) ○

(A.12.6.1)

- ○

（下記に加えて,

4.2.3.7）

- ○

（Expectation 7）

-

<Advanced> O ○

(3.11.2, 3.11.3)

○

(RA-5)

- - -

<Basic> O -

○

（4.2.3.1） -

○

（Expectation 4） -

CPS.DP-1 ・セキュリティインシデントの説明責任

を果たせるよう、セキュリティインシデ

ント検知における自組織とサービスプロ

バイダーが担う役割と負う責任を明確に

する

L1_2_a_ORG <High

Advanced><

Advanced><

Basic>共通 O

○

(3.12.3)

○

(CA-7, PM-14)

○

(A.6.1.1, A.12.4.1)

○

(CA-7)

○

（4.4.3.1） - -

○

（OP-08）

CPS.DP-2 ・監視業務では、地域毎に適用される法

令、通達や業界標準等に準拠して、セキ

ュリティインシデントを検知する

L1_2_a_ORG, L1_3_c_ORG <High

Advanced><

Advanced><

Basic>共通

O ○

(3.12.3)

○

(CA-7, PM-14)

○

(A.18.2.2)

○

(CA-7)

○

（4.4.3.2） - - -

CPS.DP-3 ・監視業務として、セキュリティインシ

デントを検知する機能が意図したとおり

に動作するかどうかを定期的にテスト

し、妥当性を検証する

L1_2_a_ORG <High

Advanced> O/S -

○(下記に加え

て、CA-7(3), SI-

3(6), SI-4(9))

○(下記に加え

て、A.14.3.1)

○

(下記に加えて、

CA-7(3) )

- - - -

<Advanced> O -

○

(CA-7, PM-14)

○

(A.14.2.8)

○

(CA-7)

○

（4.4.3.2）

○

（SR 3.3） - -

<Basic> - - - - - - - - -

CPS.DP-4 ・セキュリティインシデントの検知プロ

セスを継続的に改善する

L1_2_a_ORG <High

Advanced> O/S -

○

(下記に加えて、

SI-4(13)) ○

(A.16.1.6)

- - - - -

<Advanced> O

○

(3.14.6, 3.14.7)

○

(CA-7, SI-4)

○

(CA-7, SI-4)

○

（4.4.3.4） - - -

<Basic> - - - - - - - - -

CPS.RP-1 ・対応が必要なセキュリティインシデン

ト発生時の対応の内容や優先順位、対策

範囲を明確にするため、セキュリティ運

用プロセスを定め、運用する・不適切な

セキュリティインシデント(例：アクセス

元/先が不正なエンティティである、送受

信情報が許容範囲外である)を検知した後

の IoT 機器、サーバ等による振る舞いを

あらかじめ定義し、実装する

L1_1_a_SYS, L1_3_a_PEO,

L1_3_a_PRO, L2_2_a_PRO,

L3_3_d_SYS, L3_1_a_SYS,

L3_3_a_SYS

<High

Advanced> S -

(下記に加えて、

SI-10(3), SI-17)

○(A.16.1.5)

- - - - -

<Advanced>

O -

○

(下記に加えて、

IR-8)

-

○

（4.3.4.5.1）

- -

○

（OP-12） <Basic>

O ○

(3.6.1)

○

(IR-4)

○

(IR-1, IR-4, SC-

38)

- -

CPS.RP-2 ・セキュリティ運用プロセスにおいて、

取引先等の関係する他組織との連携につ

いて手順と役割分担を定め、運用する

L1_3_b_PEO, L1_3_b_PRO,

L1_3_c_PEO, L1_3_c_PRO

<High

Advanced> O -

○

(下記に加えて、

CP-2(7),

IR-4(4), IR-4(10))

○

(下記に加えて、

A.17.1.2)

○

(下記に加えて、

CP-6(1), IR-4(10))

- - - -

<Advanced> O -

○

(下記に加えて、

○

(下記に加えて、

○

（4.3.2.5.2, - -

○

（TM-12）

73

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

CP-7, CP-7(1),

CP-7(2), CP-7(3),

IR-7)

CP-6, CP-7) 4.3.2.5.3, 4.3.4.5.1,

4.3.4.5.2, 4.3.4.5.3,

4.3.4.5.5）

<Basic>

O - ○

(IR-6)

○

(A.16.1.1,

A.16.1.2)

○

(IR-1, IR-6, SC-

38)

- - - -

CPS.RP-3 ・自然災害時における対応方針および対

応手順を定めている事業継続計画又はコ

ンティンジェンシープランの中にセキュ

リティインシデントを位置づける

L1_2_a_PRO <High

Advanced><

Advanced>共

通

O - ○(CP-2) ○(A.17.1.1) ○

(CP-1, CP-2) -

- - ○

（OP-10, TM-12,

TM-15, TM-59） - -

<Basic>

・該当なし - - - - - - - - -

CPS.RP-4 ・セキュリティインシデント発生時に被

害を受けた設備にて生産される等して、

何らかの品質上の欠落が生じていること

が予想されるモノ(製品)に対して適切な

対応を行う

L1_3_a_COM <High

Advanced><

Advanced>共

通

O ○

(3.6.2)

○

(下記に加えて、

IR-4, IR-4(10)) ○

(A.17.1.1)

○

(下記に加えて、

IR-4, IR-4(10))

- - - ○

（OP-10）

<Basic> O -

○

(CP-2)

○

(CP-2) - - - -

CPS.CO-1 ・セキュリティインシデント発生後の情

報公表時のルールを策定し、運用する

L1_2_a_PRO <High

Advanced><

Advanced><

Basic>共通

O - - ○

(Clause 7.4)

○

（IR-6(3), IR-9,

SC-38）

○

（4.3.4.5.9） - - -

CPS.CO-2 ・事業継続計画又はコンティンジェンシ

ープランの中に、セキュリティインシデ

ントの発生後、組織に対する社会的評価

の回復に取り組む点を位置づける

L1_2_a_PRO <High

Advanced><

Advanced><

Basic>共通

O - - - - - - - -

CPS.CO-3 ・復旧活動について内部および外部の利

害関係者と役員、そして経営陣に伝達す

る点を、事業継続計画又はコンティンジ

ェンシープランの中に位置づける

L1_2_a_PRO <High

Advanced><

Advanced>共

通

O ○

(3.6.1)

○

(下記に加えて、

IR-4, IR-4(10)) ○

(A.17.1.2)

○

(下記に加えて、

IR-4, IR-4(10))

-

- -

○

（TM-16） - -

<Basic>

O - ○

(CP-2)

○

(CP-1, CP-2)

○

（4.3.2.5.5,

4.3.4.5.9）

- - -

CPS.AN-1 ・セキュリティインシデントの全容と、

推測される攻撃者の意図から、組織全体

への影響を把握する

L1_2_a_PRO <High

Advanced> O/S - -

○(下記に加え

て、A.16.1.6) - - - - -

<Advanced>

O ○

(3.6.1)

○

(IR-4, IR-4(8))

○

(A.6.1.4)

○

(IR-1, IR-4)

○

（4.3.4.5.6,

4.3.4.5.7,

4.3.4.5.8）

- - ○

（PS-21）

<Basic> - - - - - - - - -

CPS.AN-2 ・セキュリティインシデント発生後に、

デジタルフォレンジックを実施する

L1_2_a_PRO <High

Advanced> S

○

(3.3.6)

○

(AU-7, AU-7(1))

○

(A.16.1.7)

- -

○

（下記に加え、

SR 2.10） ○

（Expectation

18）

-

<Advanced>

O - -

○

（SR 2.8, SR 2.9,

SR 2.11, SR 2.12,

SR 3.9, SR 6.1）

-

<Basic> O - - - -

CPS.AN-3 ・検知されたセキュリティインシデント

の情報は、セキュリティに関する影響度

L1_2_a_PRO <High

Advanced> O -

○

(下記に加え、

CP-2(8), IR-5(1))

○

(A.16.1.3,

A.16.1.4)

○

(下記に加え、

CP-2(8))

- - - -

74

対策要件 ID 対策要件 対応する

脆弱性 対策例

対策例を

実行する主体

参照ガイドライン

NIST SP 800-171 NIST SP 800-53

Rev. 4

ISO/IEC

27001:2013

付属書 A

NIST SP 800-161 IEC 62443-2-

1:2010

IEC 62443-3-

3:2013 NIST IR 8228

ENISA Good

Practices

の大小や侵入経路等で分類し、保管する <Advanced>

O ○

（3.6.1)

○

(下記に加え、

CP-2, IR-5)

○

(CP-2) ○

（4.3.4.5.6）

- - -

<Basic> O -

○

(IR-8) - - - -

CPS.MI-1 ・セキュリティインシデントによる被害

の拡大を最小限に抑え、影響を低減する

対応を行う

L1_2_a_PRO <High

Advanced> O/S -

○(下記に加え

て、IR-4(1), IR-

4(4)) ○(A.16.1.5)

- - - - -

<Advanced><

Basic>共通 O

○

（3.6.1)

○

(IR-4)

○

(IR-1, IR-4)

○

（4.3.4.5.6,

4.3.4.5.10）

○

（SR 5.1, SR 5.2,

SR 5.4）

- -

CPS.IM-1 ・セキュリティインシデントへの対応か

ら教訓を導き出し、セキュリティ運用プ

ロセスを継続的に改善する

L1_2_a_ORG <High

Advanced> S - -

○

(A.16.1.6)

- - - - -

<Advanced><

Basic>共通

O ○

（3.6.2)

○

(IR-4)

○

(IR-1, IR-4, SA-

15)

○

（ 4.3.4.5.10）

- - ○

（TM-13） - -

CPS.IM-2 ・セキュリティインシデントへの対応か

ら教訓を導き出し、事業継続計画又はコ

ンティンジェンシープランを継続的に改

善する

L1_2_a_ORG <High

Advanced><

Advanced><

Basic>共通

O ○

（3.6.2)

○

(IR-4)

○

(A.17.1.3)

○

(IR-1, IR-4, CP-1) - - -

○

（TM-12）

二次利用未承諾リスト

報告書の題名 サプライチェーン全体のサイバー

セキュリティ強化に求められる取組の国際標準化

動向調査報告書

委託事業名 平成３０年度工業標準化推進事業委

託費（戦略的国際標準化加速事業：新規分野の国

際ルールインテリジェンスに関する調査

受注事業者名 株式会社三菱総合研究所

頁 図表番号 タイトル

17 図 2-1 ENISA資料におけるスマート・マニュファクチュアリングの階層分類

53 図 3-5 Industry 4.0におけるアーキテクチャ RAMI 4.0の構造

「サプライチェーン全体のサイバーセキュリティ強化に

求められる取組の国際標準化動向調査」 報告書

2019 年 3 月

株式会社三菱総合研究所

社会 ICT イノベーション本部

TEL (03) 6705 - 6047