主なセキュリティガイドライン
- 山崎行政書士事務所
- 9月11日
- 読了時間: 5分
— NIST を中核とした国際標準の全体俯瞰と実務適用 —
著者:山崎行政書士事務所 クラウド法務・アーキテクチャ支援チーム
発行日:2025-09-11
要旨(Abstract)
本稿は、**NIST(米国国立標準技術研究所)が公表する主要フレームワーク/SP 文書群を中核に、ISO/IEC 27001・COBIT・ITILなどの国際標準および日本国内ガイドライン(IPA/ISMAP/FISC/総務省)**を横断整理する。NIST CSF 2.0(2024)、SP 800‑171 Rev.3(2024)、SP 800‑63 Rev.4(2025)などの近年改訂点を反映し、Azure を含むクラウド環境に適用する際の実務勘所(暗号化・鍵主権・監査可能性・責任分界・証憑化)を、パラメータシートと導入フェーズの観点で提示する。
キーワード:NIST CSF 2.0、SP 800‑53/37/171/63/82、FIPS 140‑3、FedRAMP、ISO/IEC 27001、ISMAP、FISC、Azure、Evidence Pack
0. まず押さえる「近年の要アップデート」
・NIST CSF 2.0 …… 2024年正式版。新Function「Govern(統治)」が追加(計6機能)。
・SP 800‑171 Rev.3 …… 2024年最終版。CUI保護要求を改訂、評価書(800‑171A)も更新。
・SP 800‑63 Rev.4 …… 2025年最終版。デジタルIDの最新潮流を反映(MFA/属性/連携)。
・SP 800‑82 Rev.3 …… OT/ICS向けの最終版(制御系の安全・可用性と両立する防御)。
・FIPS 140‑3 …… 暗号モジュールの現行適合枠。140‑2は2026年までの経過取扱い。
・FedRAMP Rev.5 …… NIST SP 800‑53 Rev.5 ベースのクラウド評価基準へ完全移行。
1. NIST Cybersecurity Framework(CSF)
1.1 概要
2014年初版。CSF 2.0(2024)では機能が6つ(Govern / Identify / Protect / Detect / Respond / Recover)へ拡張。
組織の成熟度に応じて**目標状態(Target Profile)と現状(Current Profile)**を定義し、ギャップ是正を継続する。
1.2 Azure 実装の当てどころ(例)
Govern:クラウド規程、データ移転方針、責任分界、Azure Policyによる強制。
Protect:Key Vault(CMK/BYOK)、TLS 1.2/1.3、WAF/Firewall/Private Link。
Detect:Azure Monitor / Log Analytics / Microsoft Sentinelで相関検知。
Respond/Recover:SOAR(Playbook)とASR/Backup、DR 演習の定期化。
2. NIST Special Publication(SP)シリーズ(主流)
┌─────────────┬──────────────────────────────────────────────┬────────────────────────────────────┐
│ 文書 │ 目的/範囲 │ Azure 適用の主ポイント │
├─────────────┼──────────────────────────────────────────────┼────────────────────────────────────┤
│ SP 800‑53 r5 │ 組織/システムのセキュリティ・プライバシー統制集 │ Policy/Templateにマッピング、監査証跡 │
│ SP 800‑37 r2 │ RMF:リスク管理の運用プロセス(選定→評価→監視) │ 変更管理/評価/再認定を運用に組込み │
│ SP 800‑171 r3 │ CUI保護(非連邦組織向け要求) │ RBAC/PIM、鍵主権、ログ保持、接続分離 │
│ SP 800‑63 r4 │ デジタルID(MFA/ID保証/連携/セッション) │ 条件付アクセス、IdP連携、MFA要件設計 │
│ SP 800‑82 r3 │ OT/ICS セキュリティ(安全性と防御の両立) │ 制御系はゼロ停を優先、段階導入/監視設計 │
│ SP 800‑161 r1 │ サプライチェーン・リスク管理 │ CSP/サードパーティの評価・追跡 │
│ SP 800‑52 r2 │ TLS 実装ガイド │ TLS1.2/1.3、弱スイート排除、HSTS │
│ SP 800‑53A r5 │ 53統制のアセスメント手法 │ Evidence Packの試験手順/所見テンプレ │
└─────────────┴──────────────────────────────────────────────┴────────────────────────────────────┘
3. その他 NIST ドキュメント・プログラム
FIPS 140‑3(CMVP):暗号モジュール認証の現行枠。140‑2 は 2026 年に完全履歴化。
NICE Framework(SP 800‑181r1):セキュリティ人材の職務・技能フレーム。
FedRAMP:米連邦向けクラウド評価。**Low/Moderate/High(SP 800‑53 r5)**の基準に準拠。
4. 日本の主なセキュリティ基準・ガイドライン
サイバーセキュリティ経営ガイドライン(経産省・IPA):経営者の「重要10項目」。CSF と整合。
安全なクラウド利用のための手引き(IPA):クラウド導入・運用の留意点を体系化。
ISMAP(政府情報システム向けクラウド評価制度):日本版 FedRAMP。公共調達の前提一覧。
FISC 安全対策基準:金融機関の実装要件。クラウド利用時もログ・暗号・運用統制が重点。
総務省/経産省の IoT 関連ガイド:設計段階からのSecurity by Designとアップデート体制を要求。
5. マッピングと導入ステップ(実務)
5.1 規格→クラウド実装のマトリクス(要約)
NIST CSF「Govern/Identify」→ 管理規程・データ移転台帳・Azure Policy(リージョン/公開禁止)
NIST SP 800‑53(AC/SC/AU等)→ Entra ID(MFA/CA/PIM)、Key Vault(CMK/BYOK)、Log/Audit/WORM
NIST SP 800‑171 r3 → CUI境界分離、Private Link、最小権限、監査証跡、改ざん耐性保持
FIPS 140‑3 → HSM/暗号モジュールの適合性確認、140‑2の経過措置を把握
ISMAP → 公共向けクラウド選定(登録サービス優先)、監査パッケージ整備
FISC → ログ長期保管、鍵管理、変更管理、外部委託統制(SOC報告/監査)
5.2 導入フェーズ(成熟度別)
Baseline:TLS1.2/1.3、TDE/既定暗号、MFA、Activity/Diagnosticsの集約と保持設計
Advanced:Key Vault CMK/BYOK、Private Link、Sentinel相関検知、Blob WORM/アーカイブ
Mission‑Critical:HSM + 二重暗号化、mTLS/ゼロトラスト分離、DR演習、RMF運用(再評価/再認定)
6. 実装チェックリスト(監査に効く最小セット)
鍵主権:Key Vault(CMK/BYOK)、ローテ ≤ 12M、Wrap/Unwrap/Sign の最小権限。
ID 強化:Entra ID の MFA+条件付きアクセス/特権は PIM(JIT/承認/記録)。
通信・境界:TLS1.2/1.3、WAF Prevention、Private Link/必要に応じ mTLS。
ログ:Activity/Sign‑in/診断ログを集中保管、WORM+アーカイブ、検索クエリを定義。
規格マッピング:CSF/800‑53/171/ISMAP/FISC を Evidence マトリクスに反映。
DR/通知:72h ルールを想定した初動 Runbook と DR 演習(RTO/RPO 実測)。
7. 山崎行政書士事務所のご支援(PR)
法務(APPI/GDPR/SCC/ISMAP/契約)× 技術(Policy/IaC/Key Vault/Sentinel/ASR)を同一の設計書と Evidence Packで束ね、監査にそのまま出せる品質で納品します。
要件整理→設計→実装→証憑化をワンストップ。
NIST/ISO × 国内(ISMAP/FISC)の対照マトリクス・問答集を付与。
90日ロードマップで Baseline を立ち上げ、Advanced/Mission‑Critical へ段階拡張。
金融・医療・製造など高規制業種の実績を、テンプレとチェックリストで再現可能に。
ご相談の流れ
初回ヒアリング → 2) 現状診断(規格×運用×法務) → 3) 実装・運用化 → 4) 定期レビュー(法改正/新機能反映)
参照リンク集
※公式原典・制度サイトを中心に掲載しています。
コメント