情報セキュリティに関わる対策の手順、最新リソース情報の入手　

  ２.脅威情報の入手、予防      

ネットワーク機器、サーバ、端末、アプリケーション、クラウドなどあらゆる情報システムに対して、セキュリティ情勢の変化ににそった適切な運用（正しい選定と設定、問題のない維持管理、ソフトウェア対策、再構築の最適性）が求められます。

関係する情報セキュリティの設定情報、脅威情報、脆弱性情報、参考情報を適切に入手することで、迅速な準備および対策が可能になります。

最新の情報を入手できるか否かが、大変重要です。

2025年では、生成AIを悪用した手口が増加してきています。十分な留意が必要です。

（ランサムウエア対策）企業でのランサムウエアの感染は影響が大きくなるケース多くがあります。システムの暗号化、システム停止による業務中断、身の代金の要求、情報の漏えい、サプライチェーンへの波及、さらなる犯人からの要求が引き起こされます。十分な対策と感染後の対応、業務継続へ向けた取り組みが必要です。

原因として、VPNネットワーク機器経由から侵入感染したケースが多くあります。感染対策には、ネットワーク機器の脆弱性対応と最新化維持、端末の多要素認証対応、機密情報の分離、ゼロトラストの構築、不正侵入の検知、SASEなどの考慮が必要です。またフィッシング（なりすまし）対策には、インフラ側対処と利用者側への周知徹底を実施します。

企業でのBCP対策として、ITシステムが停止した際の代替として、クラウドへのDRスタンバイ等の構築を考慮して下さい。

また、ITシステムの復旧まで、手動運用を行う場合や万一の復旧困難な場合を想定し、通常のバックアップデータ以外に、運用中の各ITシステムから、マスタ情報、作業手順書、連絡先情報、販売・生産・人事・経営・会計情報などを定期的に出力し、隔離された安全な場所に、電子データまたは紙媒体で保管しておくことも重要です。サイバー攻撃、IT障害は発生しうるものとしてお考え下さい。

• 情報セキュリティ（IPA）

  • 概要: セキュリティの脅威情報を掲載しています。

  • とくに「情報セキュリティ十大脅威」「情報セキュリティ白書」は、年度ごとに更新し掲載されており、リスク対応に役立ちます。

  • URL: https://www.ipa.go.jp/security

• JPCERT/CC

  • 概要: 国内外のセキュリティインシデントに関する早期警戒情報や、脆弱性情報を掲載しています。

  • 脆弱性情報の入手先としては最速の入手が可能です。

  • 生成AIを悪用し脆弱性を洗い出すことで、新たな攻撃が出現しています。脆弱性対策が未完了なタイミングをターゲットにしています。非常に危険です。先手を取って脆弱性対策を行って下さい。

  • URL: https://www.jpcert.or.jp/

• • セュリティ情報のメーリングリストに登録し、早急に情報を入手することをお勧めします。

  • URL: https://www.jpcert.or.jp/announce.html

• • 「インシデントハンドリングマニュアル」

情報セキュリティインシデント発生時の対処について詳細が記されています。シーサートの構築の際にも有用となります。

• • URL: https://www.jpcert.or.jp/csirt_material/operation_phase.html

• 国家サイバー統括室（NCO）

  • 概要: 日本国のサイバーセキュリティ戦略本部からの情報発信です。

  • URL: https://www.nisc.go.jp/

• Internet Crime Complaint Center (IC3) 

  • 概要: 米国のサイバーセキュリティ、インシデント情報（米国FBI）

  • URL:  https://www.ic3.gov

海外のインシデント事例が、日本国内でも発生するケースが多くあるため非常に重要です。英文サイトとなりますので、ブラウザ翻訳などをご使用下さい。

• No more Ransom プロジェクト

  • 概要: ランサムウエアに関する国際的なプロジェクトです。

ランサムウエアへの対策事項、解読された復号ツールの提供がされています。事前対策として、ランサムウエアに感染してしまう前に是非ご一読をお勧めします。

• • URL:  https://www.nomoreransom.org/ja/index.html

• セキュリティ関連 NIST文書について（IPA）

• 概要:  米国 NIST SP800は 情報セキュリティの世界的スタンダードとなっています。この情報セキュリティ文書（翻訳）の参照ができます。

• URL: https://www.ipa.go.jp/security/reports/oversea/nist/about.html

  ３. セキュリティ事故報告     

サイバー攻撃や情報漏洩が発生した際に、どのように対処して、どこに報告すべきかを理解することが重要です。

• 警察庁 サイバー警察局

  • 概要: サイバー犯罪の被害に関する相談窓口

  • URL: https://www.npa.go.jp/bureau/cyber/soudan.html

• 個人情報保護委員会

  • 概要: 個人情報漏洩事故が発生した場合の報告、手続きについて詳細なガイドラインなど

  • URL: https://www.ppc.go.jp/index.html

• 独立行政法人情報処理推進機構（IPA）

  • 概要: セキュリティインシデント（ウイルス感染、不正アクセスの発生）の届け出。

  • URL: https://www.ipa.go.jp/security/todokede/index.html

   ４. フォレンジック、復旧    

適切な調査、判断および法的対応が可能なフォレンジック（証拠保全）を行い、復旧作業を実施するめに専門家の支援が必要な場合が多くあります。

また情報の復旧のために、データ、ＯＳ、設定情報等の適切なバックアップが必要です。とくに重要なデータは遠隔地バックアップ、オフラインバックアップ、クラウドバックアップが必須となります。定期的なリカバリー試験を考慮して下さい。

• サイバーインシデント緊急対応企業一覧（JNSA）

  • 概要: インシデント発生時のフォレンジック、復旧支援が可能な企業一覧です。万が一の発生に備えて平常時からの準備が重要です。

  • URL: https://www.jnsa.org/emergency_response/

• 情報セキュリティサービス基準適合サービスリスト（IPA）

  • 概要: 経産省「情報セキュリティサービス基準」に従った各種の情報セキュリティサービス事業者が掲載されています。

  • URL: https://www.ipa.go.jp/security/service_list.html

• 特定非営利活動法人デジタル・フォレンジック研究会

  • 概要: フォレンジックの手引き、当研究会の会員であるフォレンジック事業者の紹介が記載されています。

  • フォレンジックに関する手引き書は、必読の価値があります。フォレンジックが必要となる場合に備えておくと有用です。

  • URL: https://digitalforensic.jp/

• 株式会社サイバーディフェンス研究所

  • 概要: セキュリティサービスを実施しており、証拠収集と証拠分析を行うフォレンジックツールが掲載されています。

  • URL: https://www.cyberdefense.jp/

  ５. 教育と啓蒙                     

情報セキュリティの教育および啓蒙を行うことで、セキュリティの向上に役立ちます。

情報システムの利用者に対する周知教育による情報セキュリティレベルの底上げ、ウイークポイントの克服は情報保護のため重要な要素です。ランサムウエアを含めたマルウエア感染の予防のためにも必須です。

（2025年）インターネットサービスへのセキュリティ対策としては、従来のパスワードやメール認証では無く、パスキーによる認証が有効です。

• 情報セキュリティ教材・ツール（IPA）

  • 概要: 企業向け、一般向けの教育資料、研修動画、教材を掲示しています。

  • IPA「情報セキュリティ5か条」は最も基本的な遵守事項です。

第1条：OSやソフトウェアは常に最新の状態にしよう！

第2条：ウイルス対策ソフトを導入しよう！

第3条：パスワードを強化しよう！

第4条：共有設定を見直そう！

第5条：脅威や攻撃の手口を知ろう！

• • URL: https://www.ipa.go.jp/security/sec-tools/index.html

• 国民のためのサイバーセキュリティサイト（総務省）

  • 概要: セキュリティの基礎知識を掲載しています。

  • サイバーセキュリティ初心者のための三原則　

①「ソフトウェアを最新に」

②「強固なパスワード、多要素認証を」

③「不用意に開かない、ダウンロードしない」

• • URL: https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/

• みんなで使おうサイバーセキュリティ・ポータルサイト（国家サイバー統括室）

  • 概要: 国家サイバー統括室による教育資料、情報サイトの紹介が多くあります。

  • 情報セキュリティ対策の準備の際の参考としても、活用できます。

　　（自宅向け、オフィス向け、教育者向け、他）

• • URL: https://security-portal.nisc.go.jp/

  ６. ＩＳＭＳ認証                  

  プライバシーマーク取得

  シーサート活動

ISMS（情報セキュリティ）認証、プライバシーマーク（個人情報保護）付与、シーサート（インシデント対応組織）活動は、情報セキュリティに関して有用な活動となります。

ISMSでは組織が保護すべき情報資産を対象にしており、プライバシーマークでは個人情報を対象として保護する決まりです。

セキュリティポリシーを制定し、トップマネジメントを頂点とした組織を構築した上で、各々に定められたルールに従った情報セキュリティ活動を行います。

ISMS認証、プライバシーマークについては、対象の組織が第三者機関から各々の情報セキュリティ事項について順守できていることが示されます。

• ISO27001：ISMS認証取得組織検索（ISMS-AC）

• 概要: ISMS-ACに登録された認証組織の検索が可能です。ITC関係の取引先として、ISMS認証組織を検討することが、情報セキュリティ確保に対して有益となります。

• URL: https://isms.jp/lst/ind/index.html

• ISMS（ISO27001）登録審査機関

下記に著名な登録審査機関を記します。国内での審査機関として信頼できる実績があります。

• 機関名: 一般財団法人 日本品質保証機構（JQA） 

• URL: https://www.jqa.jp/service_list/management

• 機関名: BSIグループジャパン株式会社 

• URL: https://www.bsigroup.com/ja-JP

• 機関名: SGSジャパン株式会社

• URL: https://sgsjapan-portal.jp/

• プライバシーマーク制度：付与事業者検索（JIPDEC）

• 概要: JIPDECに登録されたプライバシーマーク付与事業者の検索ができます。 

• URL: https://entity-search.jipdec.or.jp/pmark

• 一般社団法人日本シーサート協議会

• 概要: CSIRT（コンピュータセキュリティにかかるインシデントに対処するための組織）間の情報共有及び連携を図る組織です。CSIRT組織の構築、CSIRT人材の育成、脆弱性管理などの情報が掲載されており、大変有用です。

• 企業内、企業グループ内においても、シーサート活動が重要視されています。

• シーサート活動は、①情報セキュリティインシデント（事故）発生時の適切な対応、フォレンジック、復旧作業②社内外への連絡連携、経営陣への連絡、情報の公開③通常時の教育と啓蒙活動、が主とした内容となります。インシデント対応のためには大変重要な組織といえます。

• URL: https://www.nca.gr.jp

  ７. 法令と資格                     

情報セキュリティをより深く理解するための関連する法律や専門資格を紹介します。

• e-Gov 法令検索

  • 概要: 個人情報保護法、著作権法、不正アクセス禁止法、迷惑メール防止法、サイバーセキュリティ基本法、不正競争防止法、電気通信事業法、電波法、有線電気通信法など、ＩＴＣインフラや情報セキュリティに関連する日本の法律が検索できます。

  • URL: https://laws.e-gov.go.jp/

• CompTIA JAPAN

• 概要: 国際的に認知されている情報セキュリティを含む専門家の認定資格「Security+」「CySA+」「SecurityX」などに関する情報を提供しています。国際的なスタンダードによる試験によりグローバルな視点をもった人材が確保できます。

• シラバスが最新のセキュリティに対応し世界標準にアップデートされるため、受験の有無にかかわらず、シラバスをご参考いただくと最新の情報セキュリティに関する項目や用語がバランスよく把握できます。定期的なご確認をお勧めします。

• URL: https://www.comptia.jp/

• (ISC)² Japan

  • 概要: 国際的に認知されている情報セキュリティ専門家の認定資格「CISSP」「SSCP」などに関する情報を提供しています。国際的なスタンダードによる試験によりグローバルな視点をもった人材が確保できます。

  • シラバスおよび試験問題も最新のセキュリティに対応し世界標準にアップデートされています。

  • URL: https://japan.isc2.org/

• 情報処理技術者試験（IPA）

  • 概要: 情報処理および情報セキュリティに関する国家試験の情報を提供しています。「情報処理安全確保支援士」など。

  • URL: https://www.ipa.go.jp/shiken/

• 電気通信国家試験センター　工事担任者、電気通信主任技術者（一般財団法人日本データ通信協会）

• 概要: 電気通信事業法に基づく国家資格に関する情報を提供しています。電気通信サービスを適切に提供するための法律となります。

• 昨今ネットワークインフラは大変重要な基盤となっています。また日本データ通信協会は、迷惑メールに関する情報も提供しています。

• 電気通信にかかわる技術情報、法令が習得できます。情報管理、情報セキュリティに関わる方にとっても、基礎資格（第二級デジタル通信、第一級デジタル通信）の学習をいただくことで、ハードウエアの観点からの電気の基礎、通信技術の基礎が身に付き総合的なスキルアップになります。

• URL: https://www.dekyo.or.jp/shiken/

• 無線従事者（公益財団法人日本無線協会）

• 概要: 電波法に基づく国家資格に関する情報を提供しています。電波を公平かつ能率的に利用するための法律となります。

• 無線を利用したネットワークインフラ、中継局、携帯基地局、各無線局もますます重要な社会的基盤となってきています。

• URL: https://www.nichimu.or.jp/