情報セキュリティのガイドライン、標準規格、法制度等の一覧

本稿では、情報セキュリティのガイドライン、標準規格、法制度、およびそれらを策定している団体等について述べる。なお本稿では、情報セキュリティと関係の深いサイバーセキュリティ、コンピュータセキュリティ、制御システムセキュリティ、プライバシーなどのガイドライン等についても触れる。

以下のものがある^[1]。

標準化団体	委員会	ワーキング グループ	標準	内容
ISO	TC 292（セキュリティ及びレジリエンス技術専門委員会）	-	ISO 22301	社会セキュリティ. －事業継続マネジメントシステム－要求事項
		-	ISO 22313	社会セキュリティ−事業継続マネジメントシステム−手引
	-	-	ISO 31000	リスクマネジメント
IEC	TC 65	-	IEC 62443	制御システムのセキュリティ
ISO、IEEE共同策定	-	-	IEEE P1363	公開鍵暗号
ISO/IEC JTC 1	SC 27 情報セキュリティ	WG1 情報セキュリティマネジメントシステム	ISO/IEC 27000 ファミリー	情報セキュリティマネジメントシステム（ISMS）
		WG2 暗号とセキュリティメカニズム	ISO/IEC 18033
		WG3 セキュリティ評価基準	ISO/IEC 15408	コモンクライテリア
			ISO/IEC 18045	CEM (Common Evaluation Methodology : 共通評価方法)
		WG4 セキュリティコントロールとサービス	ISO/IEC 27030 ファミリー
		WG5 アイデンティティ管理とプライバシー技術	ISO/IEC 24760ファミリー	アイデンティティ管理
			ISO/IEC 29100	プライバシーフレームワーク[2]
			ISO/IEC 29134	プライバシー影響評価[2]
	SC 37 バイオメトリクス	WG2	ISO/IEC 19784 ISO/IEC 19785	BioAPI（生体認証のAPI）
	-	-	ISO/IEC 11889	Trusted Platform Module ※Trusted Computing Groupが公開仕様書を投稿

以下のものがある

分類	番号	内容	参考文献
用語	ISO/IEC 27000	用語	[3]
全般	ISO/IEC 27001	要求事項
ガイドライン	ISO/IEC 27002	ISMSのベストプラクティス
	ISO/IEC 27003	ISMSの要求事項に対するガイダンス
	ISO/IEC 27004	監視、測定、分析、評価の手引
	ISO/IEC 27005	リスクマネジメントのガイドライン
	ISO/IEC 27007	ISMS監査の実施のガイドライン
	ISO/IEC TR 27008	組織の情報セキュリティの管理策のレビュー
要求事項	ISO/IEC 27006	ISMS認証機関への要求事項
	ISO/IEC 27009	ISMSを各セクターに適用した規格の記述方法、様式等
セクター固有の ガイドライン	ISO/IEC 27010	セクター間及び組織間コミュニケーションのための 情報セキュリティマネジメント
	ISO/IEC 27011	電気通信組織のための指針
	ISO/IEC 27015（廃止）	金融サービスのための情報セキュリティマネジメント
	ISO/IEC 27017	クラウドサービスの情報セキュリティ管理策の実践のための規範
	ISO/IEC 27019	エネルギー業界向けプロセス制御システムの 情報セキュリティマネジメメントに関するガイダンス
サイバーセキュリティの ガイドライン他	ISO/IEC 27101	サイバーセキュリティの枠組みを策定するためのガイドライン
	ISO/IEC 27102	リスクマネジメントの中でサイバー保険をリスク低減の対策に 用いる場合のガイドライン
	ISO/IEC 27103	サイバーセキュリティフレームワークで 既存のISO及びIEC規格を活用する方法の手引
その他	ISO/IEC 27013	ISO/IEC 20000-1とISO/IEC 27001 の統合実践に関するガイダンス
	ISO/IEC 27014	情報セキュリティのガバナンス
	ISO/IEC 27016	情報資産の保護に対して経済学的な視点を適用し、 モデル及び例示の使用を通して情報セキュリ ティに関する組織の経済性を適用する方法の手引
	ISO/IEC 27021	ISMS専門家の力量に関する要求事項
個別分野	ISO/IEC 27030	IoT	[4]
	ISO/IEC 27031	ICTの事業継続への対応
	ISO/IEC 27032	サイバーセキュリティ
	ISO/IEC 27032	ネットワークセキュリティ
	ISO/IEC 27034	アプリケーションセキュリティ
	ISO/IEC 27035	インシデント管理
	ISO/IEC 27036	供給者関係のセキュリティ
	ISO/IEC 27037 27041/42/ 43	インシデント調査、デジタル証拠
	ISO/IEC 27039	侵入検知・防御システム(Intrusion Detection and Prevention Systems、IDPS)
	ISO/IEC 27040	ストレージセキュリティ
	ISO/IEC 27050	e-ディスカバリ

NIST（米国国立標準技術研究所）で情報技術に関する研究を行っているITL（Information Technology Laboratory）の中のCSD（Computer Security Division）という部門がコンピュータセキュリティに関して研究を行い、以下の文書を発行している^[5]：

	略語の意味	内容
SP800シリーズ	Special Publications	コンピュータセキュリティ関係のレポートやガイドライン
FIPS	Federal Information Processing Standards、連邦情報処理標準	米国商務長官の承認を受けてNISTが公布した情報セキュリティ関連の文書
ITL Security Bulletins	-	ITLの会報
NIST IRs	NIST Interagency Reports	NISTの各内部機関がまとめたレポート。CSD Annual Report(年次報告書)など

IPAのサイトに主だった文書のリストと邦訳があるので、ここでは主要なものに限定する：

	名称
FIPS 199	連邦政府の情報および情報システムに対するセキュリティ分類規格
FIPS 200	連邦政府の情報および情報システムに対する最低限のセキュリティ要求事項
FIPS 201-1	連邦職員および委託業者のアイデンティティの検証
SP 800-53	連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
Cybersecurity Framework	重要インフラのサイバーセキュリティを向上させるためのフレームワーク

情報セキュリティ全般に関わるもののみを述べる。他のものは、「分野・業界別」の節を参照

法律名
電気通信事業法
プロバイダ責任制限法
不正アクセス行為の禁止等に関する法律 （不正アクセス禁止法）
サイバーセキュリティ基本法
携帯音声通信事業者による契約者等の本人確認等及び携帯音声通信役務の不正な利用の防止に関する法律 （携帯電話不正利用防止法）
特定電子メールの送信の適正化等に関する法律 （特定電子メール送信適正化法）
犯罪による収益の移転防止に関する法律 （犯罪収益移転防止法）
青少年が安全に安心してインターネットを利用できる環境の整備等に関する法律 （青少年インターネット環境整備法）
インターネット異性紹介事業を利用して児童を誘引する行為の規制等に関する法律 （出会い系サイト規制法）
コンテンツの創造、保護及び活用の促進に関する法律 （コンテンツ健全化法）

国	法律名	備考
米国	Federal Information Security Management Act of 2002	FISMA
	Stop Online Piracy Act（廃案）	SOPA。オンライン海賊行為防止法案
EU	EU一般データ保護規則	GDPR。個人データ保護の強化・統合

組織	名称	備考
アメリカ国立標準技術研究所(NIST)	重要インフラのサイバーセキュリティを向上させるためのフレームワーク	“セキュリティ関連NIST文書”. IPA. 2018年10月22日閲覧。
内閣サイバーセキュリティセンター(NISC)	サイバーセキュリティ戦略	根拠法：サイバーセキュリティ基本法十二条２項
	政府機関の情報セキュリティ対策のための統一基準	“「政府機関等の情報セキュリティ対策のための統一基準群（平成28年度版）」について”. 2018年10月22日閲覧。 根拠法：サイバーセキュリティ基本法第二十五条第一項第二号
経済産業省	サイバーセキュリティ経営ガイドライン	“サイバーセキュリティ経営ガイドライン”. 2018年10月22日閲覧。
	情報セキュリティ管理基準	“情報セキュリティ管理基準（平成28年改正版）を策定しました”. 2018年10月22日閲覧。

業界		組織	名称	備考
金融関連	金融全般	金融情報システムセンター(FISC)	金融機関等コンピュータシステムの安全対策基準・解説書	“FISC ガイドライン検索システム”. 2018年10月22日閲覧。
	クレジットカード業界	Payment Card Industry Security Standards Council	PCIデータセキュリティスタンダード(PCI DSS)	“PCI Security Standard Council”. 2018年10月22日閲覧。
	ATM	重要生活機器連携セキュリティ協議会(CCDS)	製品分野別セキュリティガイドライン：金融端末(ATM)分野	“協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
小売	オープンPOS		製品分野別セキュリティガイドライン：オープンPOS分野	“協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]

OT、IoT関連のガイドラインとして以下のものがある：

組織	名称	備考
情報処理推進機構(IPA)	制御システムのセキュリティリスク分析ガイド	“「制御システムのセキュリティリスク分析ガイド 第2版 ～セキュリティ対策におけるリスクアセスメントの実施と活用～」を公開”. 2018年10月22日閲覧。
内閣サイバーセキュリティセンター(NISC)	重要インフラにおける情報セキュリティ確保係る安全基準等策定指針	“重要インフラの情報セキュリティ対策に関する主な資料”. 2018年10月22日閲覧。
	重要インフラにおける情報セキュリティ対策の優先順位付けに係る手引書

下記のとおりである^[7][8]。以下でIACSとはIndustrial Automation Control Systemの事^[7]。

区分	主な対象者[7]	番号	名称	認証
全般	共通事項	62443-1-1	Terminology, Concepts, and models
		62443-1-2	Master glossary of terms and abbreviation
		62443-1-3	System security compliance metrics
		62443-1-4	IACS security lifecycle and use-case
セキュリティプログラム	事業の要件	62443-2-1	IACS security management system - Requirement	CSMS
		62443-2-2	Implementation guidance for an iacs security management system
		62443-2-3	Patch management in the IACS environment
	事業者とインテグレータの共通の要件	62443-2-4	Security program requirement for IACS service providers
システム	インテグレータの要件	62433-3-1	Security technologies for IACS
		62433-3-2	Security Risk Assessment and system design
	インテグレータと製品開発者の共通の要件	62433-3-3	System security requirement and security levels		SSA
部品	製造開発者の要件	62433-4-1	Secure Product development lifecycle requrement	EDSA
		62433-4-2	Technical security requirement for IACS component

種別	国	組織	名称	参考 文献
標準	-	IEC	IEC 61508 電気・電子・プログラマブル電子の機能安全 ※機能安全（セーフティ）の標準	[6]
ガ イ ド ラ イ ン	日本	IPA/SEC	つながる世界の開発指針
			IoT開発におけるセキュリティ設計の手引き
		IoT推進コンソーシアム	IoTセキュリティガイドライン
		JNSA	コンシューマ向けIoTセキュリティガイド
		CCDS	製品分野別ガイドライン
			IoTセキュリティ評価検証ガイドライン
		NISC	安全なIoTシステムのためのセキュリティに関する一般的枠組
		総務省・経済産業省・ IoT推進コンソーシアム	IoTセキュリティガイドライン
	米国	DHS	STRATEGIC PRINCIPLES FOR SECURING THE INTERNET OF THINGS
		CSA	Security Guidance for Early Adapters of the Internet of Things
		GSMA	IoT Security Guidelines
		IIC	Industrial Internet Security Framework
認証 制度	EU	-	EU Framework for Cybersecurity Certification

産業別のものとして以下のものがある：

業界		組織	名称	備考・参考文献等
複数業界にまたがるもの	原子力、プロセス産業	IEC	IEC 62443「汎用制御システムのセキュリティ」	セキュリティの基準[6]
	IoTゲートウェイ	重要生活機器連携セキュリティ協議会(CCDS)	製品分野別セキュリティガイドライン：IoTゲートウェイ	“協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
電力	電力制御システム	日本電気協会	JESC Z0004(2016) 電力制御システムセキュリティガイドライン	“電力制御システムセキュリティガイドライン”. 2018年10月22日閲覧。
	スマートメーター		JESCZ003(2016)スマートメータシステムセキュリティガイドライン	“スマートメーターシステムセキュリティガイドライン”. 2018年10月22日閲覧。
原子力		IEC	IEC 61513	セイフティの基準[6]
プロセス産業		IEC	IEC 61511	セイフティの基準[6]
自動車		ISO	ISO 26262	セイフティの基準[6]
		重要生活機器連携セキュリティ協議会(CCDS)	製品分野別セキュリティガイドライン：車載分野	“協議会・研究会公開資料”. 2018年10月22日閲覧。セキュリティの基準[6]
医療	医療全般	アメリカ食品医薬品局(FDA)	Postmarket Management of Cybersecurity in Medical Devices	セキュリティの基準[6]
		厚生労働省	医療情報システムの安全管理に関するガイドライン	“医療情報システムの安全管理に関するガイドライン　第5.2版（令和4年3月）”. 厚生労働省 (2022年3月31日). 2022年9月3日閲覧。
	医療機器	IEC	IEC 60601	セイフティの基準[6]
白物家電		IEC	IEC 60335	セイフティの基準[6]
産業機械類		IEC	IEC 62061	セイフティの基準[6]
鉄道		国土交通省	鉄道分野における情報セキュリティ確保に係る安全ガイドライン	“国土交通省所管重要インフラにおける情報セキュリティ確保に係るガイドライン”. 2018年10月22日閲覧。
物流			物流分野における情報セキュリティ確保に係る安全ガイドライン
航空	航空全般		航空分野における情報セキュリティ確保に係る安全ガイドライン
	空港		空港分野における情報セキュリティ確保に係る安全ガイドライン
船舶	外航船舶	日本海事協会(ClassNK)	船舶におけるサイバーセキュリティマネジメントシステム	船舶におけるサイバーセキュリティマネジメントシステム発行2019年3月14日閲覧。
水道		経済産業省	水道分野における情報セキュリティ確保に係る安全ガイドライン	“水道分野における情報セキュリティガイドライン”. 2018年10月22日閲覧。

国	組織	種別	名称	参考文献
OECD		ガイドライン	OECD8原則	[9]
EU		法令	GDPR
APEC		ガイドライン	APECプライバシー原則	[10][11]
		認証制度	APEC越境プライバシールール
日本	-	法令	個人情報保護法関連五法	[9]
	総務省	ガイドライン	電気通信事業における個人情報保護に関するガイドライン	[12]
	経産省		個人遺伝情報保護ガイドライン	[13]
			信用分野における個人情報保護に関するガイドライン	[14]
-	ISO	標準	ISO 22307　※プライバシー影響評価	[9]
日本	JIS	標準・認証制度	JIS Q 15001 ※プライバシーマーク

• 情報セキュリティ白書2018. 独立行政法人情報処理推進機構 . (2018/7/17). ISBN 978-4-905318-63-7 
  • “pdf版”. 2018年9月7日閲覧。
• 富士通株式会社　山下真 (2017年12月). “ISO/IEC 27000 ファミリー規格の動向” (pdf). 日本ISMSユーザグループ. 2018年9月6日閲覧。
• 中尾康二（KDDI 株式会社 情報セキュリティフェロー、NICT インシデント対策Ｇ ＧＬ） (2009年). “ISO/IEC 27000 関連規格の最新動向” (pdf). 日本ネットワークセキュリティ協会. 2018年9月6日閲覧。
• 村上康二郎（東京工科大学准教授） (2014年). “第4分科会プライバシーに関する国際標準化の動向と課題国際標準化の動向と課題” (pdf). 情報ネットワーク法学界. 2018年9月6日閲覧。
• “セキュリティ”. 情報サービス産業協会. 2018年9月7日閲覧。: ISO/IEC 2700ファミリーを解説
• “【概要説明】 NIST及びNIST発行の情報セキュリティ関連文書”. 独立行政法人情報処理推進機構 (2005年8月29日). 2018年9月7日閲覧。
• “ISO/IEC 27000ファミリーについて”. 情報マネジメントシステム認定センター (2018年6月20日). 2018年9月7日閲覧。
• 伊藤公祐（一般社団法人重要生活機器連携セキュリティ協議会（CCDS）専務理事） (2018年2月26日). “ガイドラインラッシュから国際標準の動向”. JNSA IoT セキュリティセミナー. 日本ネットワークセキュリティ協会. 2018年9月7日閲覧。
• ASP・SaaSの情報セキュリティ対策に関する研究会 (2007年6月21日). “情報セキュリティ対策に関連する既存の基準・ガイドライン”. 総務省. 2018年9月7日閲覧。

1. ^ IPA2018 p125
2. ^ ^{a b} 村上2014 p6
3. ^ IMS認定センター p1
4. ^ 山下2017 p16
5. ^ IPA-NIST2005
6. ^ ^{a b c d e f g h i j k l m} 伊藤2018 p10, 12, 16, 17
7. ^ ^{a b c} “IEC 62443体系と発行状況およびセキュリティレベル”. 株式会社制御システム研究所. 2018年10月26日閲覧。
8. ^ “ISASecure EDSA説明「制御システム認証のアセスメントについて」SSA 2.0.0（FSA-­‐S/SDLPA/SDA-­‐S） p3”. 技術研究組合制御システムセキュリティセンター. 2018年10月26日閲覧。
9. ^ ^{a b c} 総務省2007 p3
10. ^ “ＡＰＥＣによる越境個人情報保護に係る取組” (PDF). 経済産業省 (2016年). 2016年9月1日閲覧。
11. ^ JIPDEC常務理事認定個人情報保護団体事務局事務局長　坂下哲也 (2016年6月12日). “APEC／CBPRシステムの概要” (PDF). 2016年9月1日閲覧。
12. ^ “電気通信事業における個人情報保護に関するガイドライン”. 総務省. 2018年9月7日閲覧。
13. ^ “個人遺伝情報保護ガイドライン”. 経産省. 2018年9月7日閲覧。
14. ^ “信用分野における個人情報保護に関するガイドライン”. 経産省. 2018年9月7日閲覧。

• Cyber-security regulation
• Cyber security standards

• “セキュリティ関連コンテンツ一覧”. 経済産業省. 2019年1月30日閲覧。
  • “経営者向けセキュリティ関連コンテンツ一覧”. 経済産業省. 2019年1月30日閲覧。
  • “運用者向けセキュリティ関連コンテンツ一覧：基準・ガイド”. 経済産業省. 2018年9月25日閲覧。
  • “開発者向けセキュリティ関連コンテンツ”. 経済産業省. 2019年1月30日閲覧。
• “内閣サイバーセキュリティセンター 調査研究”. 2018年10月2日閲覧。
  • “サイバー空間に対する諸外国の施策動向調査報告書” (2014年3月). 2018年10月2日閲覧。
• 資源エネルギー庁 (2017年7月7日). “電力・ガス分野におけるサイバーセキュリティ対策”. 2018年10月22日閲覧。
• “制御系システムのセキュリティ（1）－制御系システムのセキュリティを取り巻く状況－”. NTTデータ先端技術株式会社. 2018年10月26日閲覧。
• “社会インフラセキュリティ 安心な社会インフラシステムに向けたセキュリティ標準規格の動向と展開”. 日立評論. 2019年1月31日閲覧。