📘 “社内セキュリティ整備、何から始める？”に対するひとつの答え

「ISMS認証を取りたい」

「でも社内規程も構成管理もバラバラ」

「どこから手をつけるべきか分からない」

そんな声をよく耳にします。

実は、**いきなりISMSに突っ込む前に、NIST CSFという“地図”**を使うと、整備がぐっとスムーズになります。

🔹 NIST CSFは5つの柱で構成されています

識別（Identify）：資産・リスク・役割を明確化

防御（Protect）：アクセス制御・訓練・暗号化

検出（Detect）：ログ・SIEM・アラート設定

対応（Respond）：インシデント対応計画と訓練

復旧（Recover）：バックアップ・BCP・継続運用

🔧 Azure環境での実践例（構成証明の素材にも）

Identify：Resource Graph＋タグ管理、構成図の整備

Protect：Entra ID（RBAC/MFA）、Key Vault、Defender

Detect：Log Analytics / SentinelでSIEM化

Respond：Logic Appsで自動対応、手順書＋訓練記録

Recover：Azure Backup、Site Recovery、RTO/RPOの明文化

🧩 NIST CSF → ISMSへのスムーズな昇格ポイント

ISMS Annex Aの多くがNISTの枠組みと対応している

NISTで作った技術的な構成証明が、ISMSでは証跡として使える

セキュリティ文化の導入順にも適している（“まず動く” → “文書化”）

📘 山崎行政書士事務所では：

NIST CSFベースの社内整備フレーム提供

ISMS認証に向けたAzure構成×法務ドキュメント整備

管理策と技術設定のマッピング支援（Excelテンプレあり）

まで一貫してご支援しています。

「セキュリティ＝構成図」として語れるようになる、その一歩を。