はじめに

サイバー攻撃の巧妙化・多様化が進む中、情報システム部門には「何から着手し、どこまで深掘りすべきか」を判断する高度な舵取りが求められています。本稿では、少数体制でも実装できる実践策を軸に、主要フレームワークの特徴と選定ポイント、そして組織フェーズ別の活用ステップを整理しました。読み進めながら、自社の現状と照らし合わせてご活用ください。 

セキュリティフレームワークでできること

1.網羅的なセキュリティ対策の実現

セキュリティ対策は、ネットワーク、エンドポイント、クラウドサービス、人的要素など多岐にわたります。フレームワークを活用することで、これらの領域を網羅的にカバーし、重要な対策の見落としを防ぐことができます。

例えば、多くの組織ではウイルス対策ソフトの導入には熱心ですが、アクセス権管理やバックアップ/リストアが不十分なケースが見られます。フレームワークは、こうした「盲点」も含めた包括的な対策の実施を促します。

また、「セキュリティ対策は完璧にできている」と思っていても、実際には重大な欠陥が残されていることは珍しくありません。フレームワークは、そうした盲点を発見するための「チェックリスト」としての役割も果たします。

2.リソース最適化の実現

多くの企業、特に中小企業では、セキュリティ対策に割けるリソース（予算・人員・時間）は限られています。フレームワークは、各セキュリティ施策の優先度付けの観点を提供することでそうした限られたリソースを最も効果的に活用するための手がかりを提供します。

「すべての対策を一度に実施することは不可能だが、どの対策から始めるべきか」という悩みに対し、例えばCIS Controlsではインプリメンテーショングループ(IG)といったグループ分けがされており、「ハードウェア・ソフトウェア資産の把握」「継続的な脆弱性管理」などの基本的対策を優先度の高いセキュリティ施策として位置付けています。これにより、最も効果の高い対策から順に実施することが可能になります。

3.組織内の共通理解を促進

セキュリティ対策を進める上で、経営層、IT部門、現場部門、外部ベンダーなど、様々な立場の人々の協力が必要です。フレームワークは、これらの関係者間の「共通言語」を提供します。

例えば、「当社はNIST CSFのIdentify機能について成熟度ティア2です」という表現は、専門家でなくても理解しやすい共通認識を生み出します。これにより、セキュリティ対策の現状や目標について、組織全体で一貫した理解が得られます。

※NIST CSFにおいて定義された成熟度を表す指標。ティア1から4まで存在する

4. 説明責任の明確化 

情シス担当者が経営層にセキュリティ投資の必要性を説明する際、「なぜこの対策が必要なのか」「どれくらいの投資が適切なのか」という質問に答える必要があります。フレームワークは、こうした説明の客観的な根拠となります。

「セキュリティ施策の入り口であるISMSに準拠するために必要な対策です」「CIS Controlsで最優先とされている対策です」という説明は、個人の主観ではなく客観的な基準に基づいているため説得力があります。これにより、セキュリティ投資の承認を得やすくなります。

5. 継続的改善の実現

セキュリティ対策は一度実施すれば終わりではなく、脅威の変化や技術の進化に合わせて継続的に改善していく必要があります。フレームワークは、数年に一度アップデートされる傾向にあり、常に最新セキュリティ施策の継続的改善のための道筋を示します。

代表的なセキュリティフレームワークに分類されるCIS Controlsではv7.0が2028年、v7.1が2019年、v8.0が2021年、v8.1が2024年など頻繁に内容がアップデートされています。v7.0からv7.1やv8.0からv8.1はマイナーアップデートのため軽微な修正となりますが、v7.Xからv8.Xのアップデータはメジャーアップデートとなり、新しいセキュリティの概念、ゼロトラストセキュリティの概念が埋め込まれました。

代表的なセキュリティフレームワーク

セキュリティフレームワークには様々な種類があり、それぞれ特徴や向いている組織が異なります。ここでは、代表的なフレームワークの特徴を解説します。

IPA「情報セキュリティ対策ベンチマーク」（★1・★2） 

IPAが提供する、日本の組織向けのセキュリティ自己診断ツールです。特に中小企業が自社のセキュリティレベルを簡易的に診断できるように設計されています。

★1は、セキュリティ対策の初期段階にある組織向けで、基本的な対策の実施状況を25問程度の質問で診断します。★2は、初期段階の中でのより詳細な対策状況を確認するためのもので、約120問の質問に回答します。

診断結果は、業種・規模の近い他社との比較や、弱点領域の特定、改善のためのアドバイスなど、具体的な情報が提供されます。

例：「セキュリティ対策を強化せよ」と役員から指示を受けた情シス担当者が、まず現状把握のために★1診断を実施したところ、アクセス権管理や情報資産の把握が不十分であることが判明。この結果を基に、優先的に対策を講じることができました。

このフレームワークは、セキュリティ対策をこれから始める中小企業や、日本の法規制や商慣習に沿った対策を重視する組織、自社のセキュリティ状況を簡易的に把握したい組織に特に適しています。無料で利用でき、日本語で提供されており、日本の法規制に準拠している点が大きな魅力です。また、質問に答えるだけで自社の状況を診断でき、結果に基づいた改善提案が得られるという手軽さも特徴です。一方で、国際的な認知度は低く、詳細な対策手順までは提供されないこと、業界特有の要件には対応していない場合があることは留意点として挙げられます。

出典：https://www.ipa.go.jp/security/sec-tools/benchmark.html

経済産業省「サプライチェーンセキュリティ対策評価制度（★3・★4[★5]）」

経済産業省のサプライチェーンセキュリティ対策評価制度はIPAが2017年から本格運用を開始したセキュリティアクション(SECURITY ACTION)★1・★2後続のセキュリティフレームワークです。このフレームワークはサプライチェーンにおけるセキュリティ対策の成熟度を評価・認証する制度のチェックリストであり、セキュリティアクションを含めた★1から★までの4段階評価のうち、★3・★4は特に高度なセキュリティ対策を実装している組織に与えられる認証です。このフレームワークはISMSと補完関係になっており、★4を満たした状態でISMSを取得するとセキュリティレベル★5と定義されます。

★3は組織的なセキュリティ管理体制が確立され、包括的なリスク評価とマネジメントプロセスが実装されていることを示します。★4はさらに、先進的なセキュリティ対策の導入や、予測的なリスク管理アプローチが実現されていることを評価します。

このフレームワークは実証段階(2025/4/14現在)にあり、2026年10月に正式に運用開始となる予定です。

ISMS（ISO/IEC 27001）

情報セキュリティマネジメントシステム（ISMS）の国際標準規格です。組織の情報セキュリティを体系的に管理するためのフレームワークとして、世界中で広く採用されています。

ISMSは114の管理策を14のカテゴリに分類し、PDCAサイクルに基づく継続的改善を重視しています。第三者認証が可能であり、取得した認証は取引先や顧客に対する信頼性の証明となります。内容は攻撃者の侵入前のセキュリティ対策に重きを置いており、近年ではCIS ControlsやNIST CSFなどの侵入後の対策も含めたセキュリティフレームワークと合わせて実装することが一般的です。

例：ある企業では、取引先からのセキュリティ要件に対応するためISMS認証を取得。これにより、情報セキュリティに関する国際的な信頼を獲得し、新規取引先の開拓にも役立ちました。また、リスクアセスメントプロセスを確立することで、各部門の重要情報資産を特定し、優先度の高いリスクから対策を実施できるようになりました。

ISMSは特に、取引先からISMS認証を求められている組織に適しています。国際的な認知度を持ち、セキュリティ管理体制の構築が可能です。ただし、導入・維持に相当なリソースが必要で、文書化の負担が大きい点や、認証取得・維持にコストがかかること、小規模組織には過剰な要件も含まれる点は考慮すべき課題です。

出典：https://isms.jp/

Pマーク（プライバシーマーク）

日本情報経済社会推進協会（JIPDEC）が運営する、個人情報保護の体制が整備されている事業者に対して付与される認証制度です。JIS Q 15001（個人情報保護マネジメントシステム）に基づいており、2年ごとの更新審査が必要です。

Pマークは個人情報保護に特化したマネジメントシステムであり、個人情報保護法への対応を重視する組織に適しています。

例：ある顧客データを多く扱うサービス企業では、個人情報保護の信頼性向上のためにPマークを取得。これにより、個人情報の取り扱いプロセスが明確化され、従業員の意識も向上。

Pマークは、個人情報を多く扱う事業者（BtoC企業など）や、個人情報保護法への対応を重視する組織、日本国内での事業展開が中心の組織に特に適したフレームワークです。個人情報保護の信頼性をアピールでき、日本の個人情報保護法に準拠した体制構築が可能です。

ただし、個人情報保護に特化しており総合的なセキュリティ対策としては不十分な面があること、認証取得・維持にコストがかかること、文書化や教育など継続的な取り組みが必要である点は考慮すべき点です。

出典：https://privacymark.jp/

NIST サイバーセキュリティフレームワーク（NIST CSF）

米国国立標準技術研究所（NIST）が開発した、組織のサイバーセキュリティリスク管理のためのフレームワークです。5つの主要機能（特定、防御、検知、対応、復旧）に基づく包括的なアプローチが特徴です。 

NIST CSFは様々な組織にのセキュリティに対応しており、柔軟性が高いため組織のニーズに合わせてカスタマイズ可能です。また、成熟度レベルの評価（ティア1:部分的、ティア2:リスク情報を活用、ティア3:反復可能、ティア4:適応）により、組織の現状と目標のギャップを可視化できます。

例：あるグローバル展開する企業では、各国拠点のセキュリティ対策の標準化のためにNIST CSFを採用。「特定→防御→検知→対応→復旧」の5機能に沿って対策を整理することで、各拠点の対策状況を可視化し、弱点を重点的に強化することができました。また、経営層への報告も5機能の成熟度という形で簡潔に行えるようになりました。

NIST CSFは、内部不正も含めた網羅的なサイバーセキュリティ対策を実施したい組織、既存のセキュリティ対策を体系化したい組織に特に適しています。国際的に広く認知されており、技術的対策と管理的対策のバランスが取れている点が強みです。他のフレームワークとの互換性が高く、組織の規模や業種を問わず適用可能という柔軟性も魅力です。一方で、具体的な実装方法までは示されておらず、日本語の資料が比較的少ないこと、認証制度がなく適合性を客観的に示しにくいため、一部専門家の知見が必要な点は課題として挙げられます。

CIS Controls

Center for Internet Security（CIS）が提供する、具体的なサイバーセキュリティ対策のガイドラインです。実践的で優先順位付けされた18のコントロール（対策群）を提供しています。

CIS Controlsは「基本」「基盤」「組織」の3グループに分類された18のコントロールで構成され、実装の優先順位が明確です。また、組織の規模・成熟度に応じた実装グループ（IG：Implementation Groups）を1から3まで提供しているため、段階的な対策の実施が可能です。

例：ある限られた予算と人員の中でセキュリティ対策を進めたい中小企業では、CIS Controlsを採用。まずIG1への準拠に集中することで、最小限の投資で最大の効果を得ることができました。特に、「何から始めるべきか」という悩みに対する明確な指針となりました。

CIS Controlsは、具体的な技術対策の指針を求める組織や、リソースが限られており効果的な対策から順に実施したい組織、実践的なセキュリティ対策を重視する組織に特に適しています。非常に具体的で実用的な内容であり、優先順位が明確で最も効果的な対策から実施可能という点が大きな利点です。技術的な実装ガイダンスが充実しており、組織の成熟度に応じた段階的な実装が可能です。ただし、管理的・組織的対策よりも技術的対策に重点が置かれていること、日本語の資料が比較的少ないこと、業界固有の要件には対応していない場合があることは考慮すべき点です。

出典：https://www.cisecurity.org/controls/implementation-groups/ig3

組織の状況に合わせたフレームワーク選択と活用法

 セキュリティフレームワークは、「一つのフレームワークを選定して従う」というよりも、組織の状況や目的に合わせて「最適なフレームワークを複数選定して従う」など柔軟に選択・組み合わせることが重要です。ここでは、典型的な組織状況別の最適なアプローチを紹介します。

少人数の情シス部門の場合

少人数の情シス部門では、リソースの制約が大きく、効率的な対策の実施が求められます。このような組織には、以下のアプローチが効果的です。

まずはCIS ControlsのIG1で現状を把握しましょう。このCIS ContrlsのIG1スタートアップや中小企業向けのフレームワークです。診断結果から自組織の弱点を特定したら、CIS Controlsの「基本」グループ（最初の6つのコントロール）から優先的に実装することをお勧めします。

 「役員から『セキュリティ強化せよ』と指示されたが、何から手をつければよいかわからない」という状況でも、このアプローチなら明確な道筋が見えてきます。また、自社で対応可能な対策と外部サービスに委託する対策を仕分けることで、現場の負担を最小限に抑えながら効果的な対策が可能になります。

具体的なステップとしては：

1. CIS ControlsのIG1で診断を実施

2. CIS Controlsの基本グループに沿って対策の優先順位を決定・実装

3. 自社で対応可能な対策と外部サービスに委託する対策を仕分け

4. 段階的に対策を実施し、定期的に組織の成熟度に応じたCIS ControlsのIGで成熟度を確認

上場・グループ企業の情シス部門（セキュリティロードマップあり）の場合

セキュリティロードマップを既に作成している上場・グループ企業では、既存の取り組みの網羅性確認と体系化が課題となります。このような組織には、以下のアプローチが効果的です。

NIST CSFを活用して現状のロードマップの網羅性を確認し、推進中の既存施策をベースに体系的な対策を実施することをお勧めします。また、成熟度評価を定期的に行い、継続的改善を図ることが重要です。

「セキュリティロードマップは作成済みだが、リソース不足で対策が進まない」「専門人材不足で対策の進め方がわからない」という課題に対しては、NIST CSFの5機能（特定、防御、検知、対応、復旧）の施策のうち、最も成熟度が低いものから実施していくようにしましょう。これによりセキュリティ成熟度のボトムアップが期待でき、施策推進中でも効果的にセキュリティ施策を実装可能です。

具体的なステップとしては：

1. 現行のロードマップをNIST CSFの5機能にマッピング

2. ギャップ分析を行い、不足している対策領域を特定

3.成熟度の低い領域からセキュリティ施策を推進

4. 定期的な成熟度評価で進捗を可視化し、経営層に報告

上場・グループ企業の情シス部門（セキュリティロードマップなし）の場合

セキュリティロードマップがない上場・グループ企業では、体系的なセキュリティ管理体制の構築が課題となります。このような組織には、以下のアプローチが効果的です。

NIST CSFまたはCIS Controlsを全体の枠組みとして採用し、CIS Controlsを具体的な対策から実施することをお勧めします。これにより、包括的かつ実践的なセキュリティ対策が可能になります。 

「セキュリティロードマップなどがなく場当たり的にセキュリティ対策を実施している」「EDR導入など最低限の対策は進めているが今のままでどのくらいリスクがあるかわからず、漠然とした不安を抱えている」という状況では、まずNIST CSFで組織全体を評価し、その上で、NIST CSFの項目と紐づくCIS Controlsの優先順位に従って具体的な対策を実施していきます。

具体的なステップとしては：

1. NIST CSFの項目と紐づくCIS Controlsの具体策から実施

2. CIS Controlsの優先順位に従って具体的な対策を実施

3. 中長期的なロードマップを策定し、継続的な改善サイクルを確立

●セキュリティフレームワーク比較表

フレームワーク活用の実践的なヒント

セキュリティフレームワークを効果的に活用するためのヒントをいくつか紹介します。

1. 複数のフレームワークを組み合わせる

単一のフレームワークにこだわらず、組織のニーズに合わせて複数のフレームワークを組み合わせることが効果的です。例えば、NIST CSFを全体の枠組みとして採用しつつ、具体的な対策はCIS Controlsを参考にする。個人情報保護についてはPマークの要件を取り入れるといった組み合わせが考えられます。

あるIT企業では、NIST CSFを全体の枠組みとしながら、技術的対策はCIS Controlsで全体のセキュリティ施策を実施、個人情報保護はPマークを取得。これにより、包括的かつ実践的なセキュリティ体制を構築することができています。

2. 段階的なアプローチを取る

すべての対策を一度に実施しようとせず、優先順位を付けて段階的に実施することが重要です。例えば、CIS ControlsのIG1,2の対策を最初の1年で実施し、次の1年でIG3、その次にNIST CSFの準拠を進めるといった計画が考えられます。

ある製造業では、限られた予算の中でセキュリティ対策を進めるため、3年計画で段階的にフレームワークの要件を満たしていく計画を策定。1年目は「基本的な防御策」、2年目は「検知能力の強化」、3年目は「インシデント対応体制の整備」と明確に分けることで、具体的かつ計画的な投資と着実な進捗が可能になりました。

3. 現場の負担を考慮する

セキュリティ対策は現場の業務効率を著しく低下させると、形骸化するリスクがあります。例えば、サービスへのシングルサインオン（SSO）の導入により、セキュリティを強化しつつもパスワード管理の負担を軽減するといった工夫が可能です。

ある金融機関では、厳格なセキュリティポリシーを導入したものの、現場の負担が大きすぎて従業員がルールを無視するケースが増加。そこで、セキュリティと利便性のバランスを見直し、生体認証やコンテキストベースの認証など、セキュリティを維持しながらも利便性を向上させる対策を導入。結果として、ポリシーの遵守率が大幅に向上しました。

4. 自動化とツール活用を重視する

人手に頼る対策は持続可能性が低いため、可能な限り自動化やツール活用を検討します。例えば、脆弱性スキャンの自動化、セキュリティ設定の一元管理、ポリシー準拠の監視などが考えられます。

あるIT企業では、セキュリティ対策の多くを自動化ツールに置き換えることで、少人数の情シスチームでも効果的な対策を実現。特に、脆弱性スキャン、パッチ管理、ログ分析などの定型作業を自動化することで、人的リソースを戦略的な対策立案や教育活動に振り向けることができました。SOCなどの専門的な業務に関しては外部の専門家に委託するという方法も効果的です。

5. 経営層の理解と支援を得る

セキュリティ対策の共通言語となり得るセキュリティフレームワークを活用して、セキュリティ対策の必要性と効果を経営層に説明し、理解してもらうことも重要です。例えば、NIST CSFの成熟度評価を用いて、現状と目標のギャップを可視化し、必要な投資の根拠とするといった方法が効果的です。 

ある製造業では、セキュリティ投資の承認を得るのに苦労していましたが、NIST CSFの成熟度評価を用いて現状と業界平均のギャップを可視化。さらに、インシデント発生時の想定損害額と対策コストを比較した費用対効果分析を提示することで、経営層の理解と支援を得ることができました。

まとめ：フレームワーク活用の成功の鍵

セキュリティフレームワークは、組織のセキュリティ対策を体系的かつ効率的に進めるための強力なツールです。特に限られたリソースの中で対策を進める情シス担当者にとって、フレームワークは「何を」「どの順序で」「どこまで」対策すべきかの指針となります。 

セキュリティ対策は終わりのない旅ですが、適切なフレームワークを活用することで、その道のりはより明確になり、限られたリソースでも効果的な対策が可能になります。フレームワークを「地図」として活用し、組織のセキュリティ態勢を着実に強化していきましょう。

---

●参考文献

情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」

NIST「Framework for Improving Critical Infrastructure Cybersecurity」

CIS「CIS Controls Implementation Guide for Small- and Medium-Sized Enterprises」

JNSA「情報セキュリティ対策のためのフレームワーク活用ガイド」

経済産業省「サイバーセキュリティ経営ガイドライン」

経済産業省「サプライチェーンセキュリティ対策評価制度」