知の共有化

知の共有化とサイバーセキュリティ対策

DX時代に対応したデジタルアーカイブの構築、知識インフラの構築に必要なデジタルリテラシー。サービスの円滑な運用のためのサイバーセキュリティ対策のリテラシーも含めて。

セキュリティ関連知識の保管庫(ナレッジベース)

2023.1.30

セキュリティ関連知識の保管庫(ナレッジベース)【極意続編】

位置づけ

  • ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の続編のために要約した次世代IT技術、サイバーセキュリティ対策関連の知識の保管庫(ナレッジベース)です。
  • 国際標準、NISC,METI,IPA等の政府関連機関が提供するフレームワークガイドライン等の最新版をベースとして、実践的な情報への道しるべとなる情報を提供します。
  • 具体的な対策の実施の際には、ページ内に記載の【参照資料】のリンク先をご確認ください。

目次

目次.1.サイバーセキュリティを取り巻く背景

目次.2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】

  • (目的:向上支援事業にて到達すると想定されるレベル(Security Action二つ星宣言)の基礎知識を振り返る)
  • サイバーセキュリティに関する基礎知識
    • (要旨・キーワード等:各種試験シラバス(ITパスポート、基本情報処理技術者、情報セキュリティマネジメント)等より基礎知識を掲載)
  • Security Action(IPA
    • (要旨・キーワード等:情報セキュリティ5か条、情報セキュリティ基本方針、情報セキュリティ自社診断 等)

目次.3.これからの企業経営で必要な観点【社会の動向】

  • (目的:企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する)
  • 現実社会とサイバー空間の繋がり
    • (要旨・キーワード等:サプライチェーンを構成する企業と企業が、フィジカル空間とサイバー空間で繋がっていることを掲載)
  • 守りのIT活用
    • (要旨・キーワード等:社内業務の効率性・生産性向上や働き方の変革 等)
  • 攻めのIT活用
    • (要旨・キーワード等:ビジネスの発展や売上・企業価値の向上 等)
  • 経営投資としてのサイバーセキュリティ対策
    • (要旨・キーワード等:DX白書(IPA)等より経営投資としてのサイバーセキュリティ対策の必要性を掲載)

目次.4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】

  • (目的:社会全体におけるサイバーセキュリティの現状を解説する)
  • 国の方針・施策
    • (要旨・キーワード等:経済財政運営と改革の基本方針、サイバーセキュリティ基本法、サイバーセキュリティ戦略、サイバーセキュリティ2022、情報セキュリティ白書)
  • 脅威
    • (要旨・キーワード等:情報セキュリティ10大脅威、サイバー攻撃・犯罪の情勢)
  • 法令遵守
    • (要旨・キーワード等:関係法令Q&Aハンドブック(NISC)等より法令遵守に関する事項を掲載、GDPR、個人情報保護)

目次.5.網羅的なセキュリティ対策を知る【フレームワーク】

目次.6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

目次.7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

目次.8.全体総括

  • (目的:テキスト全体のポイントを振り返り、知識を定着させる。また、セキュリティ人材として自走するために必要な考え方等を提示する。)

目次.Annex

<<本編>>

1.サイバーセキュリティを取り巻く背景

目標とする対策のレベルを想定

  • LV.1 【クイックアプローチ】緊急に、狙われやすい大きな穴(セキュリティホール)を塞ぐ
    • 報道されるような事象、情報セキュリティ10大脅威を参考にして、緊急対応する
  • LV.2 【ベースラインアプローチ】素早く多くの穴を塞ぐ
    • ガイドブック、ひな形を参照して、迅速に進める
  • LV.3 【網羅的アプローチ】じっくりと、小さな穴を残さないように確実に塞ぐ

【事例を知る】重大なインシデント発生から課題解決まで

  • 事案発生⇒課題の抽出(組織的、技術的、社会的)⇒再発防止策の実施(課題への対応・対策)
  • 自組織における対策状況の見直しのきっかけとして
    • ただし、環境は組織によって異なるため、事例は一例に過ぎずそのまま適用しただけでは、重大な事象・対策を見落とす可能性がある。
  • 事例を踏まえて、網羅的な対策のあり方、目標とするレベルを認識の上で、具体的に実施していくことが重要。
ランサムウェアの感染

【社会の動きを知る】社会の現状と今後の動向【概要】

  • Society5.0等で示されている政府機関が目指す社会の方向性と、実現に向けた基本的な概念を理解する。
  • そのような環境の中で、中小企業のビジネス発展のために意識しておくべき考え方を提示する
DX時代に対応が求められるIT環境
想定されるセキュリティ侵害と対策のあり方
  • LV.1, LV.2, LV.3 を想定して、リスクの大きいものからはじめ、最終的には、網羅的かつ迅速な対策へ
DX時代に不可欠な人材の確保

2.サイバーセキュリティに関する基礎知識【前提となる組織とスキル】

  • 向上支援事業にて到達すると想定されるレベル(Security Action二つ星宣言)の基礎知識を振り返る

ITリテラシー

ITパスポート試験(iパス)

Security Action 二つ星レベル

情報セキュリティ5か条
  • 情報セキュリティ5か条
    • OSやソフトウェアは常に最新の状態にしよう!
    • ウイルス対策ソフトを導入しよう!
    • パスワードを強化しよう!
    • 共有設定を見直そう!
    • 脅威や攻撃の手口を知ろう!
5分でできる情報セキュリティ自社診断
情報セキュリティ基本方針
  • 情報セキュリティ基本方針
    • 経営者の責任
    • 社内体制の整備
    • 従業員の取組み
    • 法令及び契約上の要求事項の遵守
    • 違反及び事故への対応
    • ・・・

導入済と想定するセキュリティ対策機能

  • 導入を支援する東京都の事業
UTM相当機能
EDR相当機能

3.これからの企業経営で必要な観点【社会の動向】

  • ※企業経営に必要となるIT活用、サイバーセキュリティ対策の必要性を解説する

経済財政運営と改⾰の基本⽅針

  • 経済財政運営と改革の基本方針2022
    • 国の施策の基本方針であり、IT及びセキュリティ関連の施策は、この基本方針に沿った形で実施計画が策定されていることを認識する
  • 【要約資料】 国の基本方針および実施計画の要約
    • (2)⺠間部⾨におけるDXの加速
      • 地⽅における中⼩企業も含めて ⾮対⾯型ビジネスモデルへの変⾰や新産業モデルを創出する。
      • このため、企業全体で取り組むデジタル投資を税制により⽀援し、特に中⼩企業においては、IT導⼊サポートを拡充し、そのDX推進を⼤胆に加速するほか、標準化された電⼦インボイスや、⾦融機関による⽀援等も通じた中⼩企業共通EDI等の普及促進を図る。
      • また、物流DXや標準化等を通じて、サプライチェーン全体の徹底した最適化を図る。加えて、AI、IoTやビッグデータを活⽤し、新たな付加価値を創造していく。
    • (3)デジタル⼈材の育成、デジタルデバイドの解消、サイバーセキュリティ対策
      • IPAが、経済界との協⼒を含む体制整備を⾏い、各種デジタル⼈材のスキルを評価する基準を作成する。
        • ※データサイエンティスト(統計分析やコンピュータサイエンスの知識を元に、⼤量のビッグデータから新たな知⾒を引き出し、価値を創造する⼈材)、サイバーセキュリティスペシャリスト(個⼈や組織をサイバー攻撃の脅威から守るセキュリティ専⾨⼈材)、アーキテクト(DX技術を理解して、ビジネスとDX技術導⼊の融合を指揮することのできる⼈材)、エンジニア(アプリ開発クラウド等のデジタル技術をフルスタックで⾝に付け、技術のビジネス導⼊を担う⼈材)、オペレータ(DXを⽀えるデジタル基盤の安定稼働を⽀える⼈材)など
      • 特に地域で育成したデジタル⼈材を積極的に活⽤し、デジタル活⽤に不安のある⾼齢者等にオンラインサービスの利⽤⽅法等に関して講習会・出前講座等の助⾔・相談を⾏うとともに、⾏政窓⼝等でのサポートに努めるなど、⽀援の仕組みの充実を図る。
      • 関係府省庁、電気通信事業者等重要インフラ事業者による積極的なセキュリティ対策を推進するほか、サイバーセキュリティに係るサプライチェーンリスクへの対策を強化する。
        • サイバーセキュリティに係るサプライチェーンリスク:製品の開発・製造、設置等の過程で情報の窃取・破壊や悪意ある機能が組み込まれること。
    • 2 重点化を図るべき分野
      • (1)経済社会の活⼒の向上及び持続的発展 〜DX with Cybersecurityの推進〜
      • ① 経営層の意識改⾰
        • デジタル化の進展に応じ、企業の取組状況が、市場を含む企業内外から持続的な企業価値の向上につながるものとして評価され、更なる取組を促進される機運の形成に資するものであること。
        • また、経営層に対し、「プラス・セキュリティ」知識を補充できる環境整備に資するものであること。
      • ② 地域・中⼩企業におけるDX with Cybersecurityの推進
        • 地域・中⼩企業において、デジタル化と同時にサイバーセキュリティ対策に取り組むに当たり直⾯する、知⾒や⼈材等のリソース不⾜等の課題への対処に資するものであること。
      • ③新たな価値創出を⽀えるサプライチェーン等の信頼性確保に向けた基盤づくり
      • ④誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着
        • デジタル化の進展に応じ、様々なデジタルサービスに触れる機会が増えていく中、リテラシーの向上と定着に向けて、その機会や⽀援の取組と連動するものであること。

デジタル社会の実現に向けた改⾰

Society5.0
IoT、ビッグデータ、ロボット、AI、5G、、、
DX(デジタルトランスフォーメーション)
DX with Security
  • サービスの向上のためにセキュリティ対策は必須
CPS(サイバー・フィジカル・システム)

サイバーセキュリティ対策が経営に与える重大な影響

生産性向上(経費の削減)

  • 従来、IT活用は業務効率化やコスト削減を目的として、定型業務の自動化に集中。(守りのIT投資)

新たなビジネスの展開(先行投資)

  • 売り上げ増加を目指したIT投資(攻めのIT投資)
  • 「既存事業の業務生産性向上や働き方の変革」で得られた原資を「新たな価値の創出」に向けた活動に充当していくことで、企業の競争力と経営体力を高めながら、環境変化にも対応する

次世代技術を活用したビジネス展開

4.社会全体におけるサイバーセキュリティの現状【国等の方針・施策】

  • ※社会全体におけるサイバーセキュリティの現状を解説する

国等の方針・施策が現在の内容に至るまで

Cybersecurity for All

  • (産業横断的なサプライチェーン管理、サイバー犯罪対策、クラウドサービス利用のための対策の多層的な展開、経済安全保障の視点を含むサイバー空間の信頼性確保)

情報セキュリティ白書、10大脅威で示された脅威の実態

【NISC】サイバーセキュリティ基本法、サイバーセキュリティ戦略

  • サイバーセキュリティ基本法
  • サイバーセキュリティ戦略
  • 【NISC】サイバーセキュリティ戦略
  • サイバーセキュリティ2022
    • 2021年度年次報告・2022年度年次計画
  • 【要約資料】
    • Sec21-01_サイバーセキュリティ戦略の要約
      • 4.1.経済社会の活力の向上及び持続的発展 ~DX with Cybersecurity の推進~
        • 4.1.1.経営層の意識改革
        • 4.1.2.地域・中小企業における DX with Cybersecurity の推進
        • 4.1.3.新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
        • 4.1.4.誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着
      • 4.2.国民が安全で安心して暮らせるデジタル社会の実現
        • 4.2.1.国民・社会を守るためのサイバーセキュリティ環境の提供
        • 4.2.3.経済社会基盤を支える各主体における取組①(政府機関等)
      • 4.4.横断的施策
        • 「デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進」「公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保」「安全保障の観点からの取組強化」という3つの方向性を意識して、取組推進を図る。
        • 4.4.1.研究開発の推進
        • 4.4.2.人材の確保、育成、活躍促進
          • (1) 「DX with Cybersecurity」に必要な人材に係る環境整備
            • デジタル化の進展とあわせてサイバーセキュリティ確保に向けた取組を同時に推進すること(DX with Cybersecurity)が社会全体で実現されるための環境整備
            • ①「プラス・セキュリティ」知識を補充できる環境整備
              • 経営層や、特に企業・組織内でDX を推進するマネジメントに関わる人材層をはじめとして、ITやセキュリティに関する専門知識や業務経験を必ずしも有していない様々な人材に対して「プラス・セキュリティ」知識が補充され、内外のセキュリティ専門人材との協働等が円滑に行われることが、社会全体で「DX with Cybersecurity」を推進していく上で非常に重要である。
              • 様々な企業・組織において、人材育成プログラムを受講する呼びかけ等が行われることや、職員研修等の機会が提供されることが重要である
            • ②企業・組織内での機能構築、人材の流動性・マッチングに関する取組
              • 迅速で柔軟な開発・対処、新たなリスクに対応した監視・対処のプラクティスが必要となる。特に、前者の実践に当たっては 「セキュリティ・バイ・デザイン の考え方の重要性も一層増し、企画部門や開発運用部門と企業・組織内のセキュリティ機能との連携・協働が一層重要となると考えられる。
              • 働き方や雇用形態の多様化、デジタル改革の推進を機会としてIT・セキュリティ人材の流動性・マッチング機会の促進が図られるための環境整備が必要である。
              • 特に地域・中小企業においてセキュリティ人材の不足が顕著であるところ、地域における「共助」の取組や、産業界と教育機関との連携促進・エコシステム構築を通じ、プラクティスの実践に当たって参考となるノウハウやネットワークの提供を行う。
        • 4.4.3.全員参加による協働、普及啓発
          • リテラシーを身に付け、自らの判断で脅威から身を守れるよう、官民が一体となって行動強化につなげるための普及啓発・情報発信に取り組むことが重要である。
          • 本戦略では「Cybersecurity for All」という考え方を示しているが、これは「全員」が自らの役割を主体的に自覚しサイバーセキュリティに取り組む、という考え方を含んでいる。
          • 加えて、特に、テレワークの増加やクラウドサービスの普及等の近年の人々の行動や企業活動の変化に応じて、ガイドラインや様々な解説資料等の整備が進められている。
【NISC】ITおよびサイバーセキュリティに関する組織の視点6分類
  • 企業経営のためのサイバーセキュリティの考え⽅の策定について

  • 【要約資料】

    • Sec01-11-02_ITおよびサイバーセキュリティに関する組織の視点6分類別に実施すべき対策
      • 【理想的に】ITの利活⽤を事業戦略上に位置づけ、サイバーセキュリティを強く意識し、積極的に競争⼒強化に活⽤しようとしている企業
      • 【もっと積極的に】IT・セキュリティをビジネスの基盤として捉えている企業
      • 【無駄な投資】過剰なセキュリティ意識により、ITの利活⽤を著しく制限し、ITの利活⽤を競争⼒強化に活⽤させていない企業
      • 【危険】情報セキュリティ対策の必要性は理解しているが、必要⼗分なセキュリティ対策が出来ていないにも関わらず、ITの利活⽤を進めている企業
      • 【危険】情報セキュリティの必要性を理解していない企業⾃らセキュリティ対策を⾏う上で、事業上のリソースの制約が⼤きい企業
      • 【対象外】ITを利⽤していない企業

国内外の関係法令等

5.網羅的なセキュリティ対策を知る【フレームワーク

  • ※業種、業態、組織規模を問わず、網羅的なサイバーセキュリティ対策の体系を解説する
  • これらのフレームワークを活用することにより、自組織で必要と思われるものを選択することにより、対策の漏れをなくすことが可能になる
  • ISMS認証等を受ける場合は、内容の理解は必須となる

フレームワークの概要

5.0 【新規】ITシステム管理・監査関連のフレームワーク

5.1 情報セキュリティマネジメントシステムISMS)[ISO/IEC27001:2022, 27002:2022]

  • ISMSは、「個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用すること。」 であり、JIS Q 27001(ISO/IEC 27001)により、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項が国際規格として示されている。
  • リスクアセスメントの規格としては、情報セキュリティリスクマネジメント(ISO/IEC27005)があり、その内の「8.情報セキュリティリスクアセスメント」にリスクの特定からリスク評価までの基準が示されている。
  • なお、セキュリティに関するリスクに限らず全般のマネジメントの規格としては、ISO 31000:2018(JIS Q 31000:2019)がある。
ISMSの改訂の動き
  • ISO/IEC 27002は、2013年版から9年を経て、次期改定版が2022年度に発行された。
  • 新しいISO/IEC 27002では、サイバーセキュリティ脅威や新しいセキュリティ技術の進化に合せて、11個の新規の情報セキュリティ管理策が追加された。
  • ISO/IEC 27002の改定の影響を受けて、ISO/IEC 27001の附属書Aの部分を中心としたISO/IEC 27001も改定された。
ISMSの用語
  • JIS Q 27001(ISO/IEC 27001)は、
    • ISMSの要求事項を定めた国際規格。」
    • 初版は、BS7799、ISO/IEC17799、JISX5080
    • 東京都を含め、一般的な組織は、この規格に基づいて、情報セキュリティ対策を行っており、セキュリティ対策基準、実施手順を作って運用してきた。
  • JIS Q 27002(ISO/IEC 27002)は、
    • 2013年版は、「情報セキュリティ管理策の実践のための規範」 とされていたが、2022年版は、「情報セキュリティ管理策」とされた。ISO/IEC27001に基づくISMSにおいて使用されるが、ISMSとは独立した情報セキュリティ管理策の情報源として使用される。
      • 国際的なベストプラクティスとして、組織において情報セキュリティ管理策を実施するため、また、組織独自の情報セキュリティガイドラインの策定のために利用されることを想定
    • 新しい脅威や技術動向に合わせて、14の分類を、組織的対策、人的対策、物理的対策、技術的対策の4つの分類に再整理し、114個の管理策を、24個の管理策を統合し、また、11個の新規管理策を加えて、93個の管理策が示されている
    • サイバーセキュリティへの対応を強化するための管理策が充実させ、またCSFとの互換性のために、属性としてサイバーセキュリティ概念を導入した。従来は、ISMSとCSFの双方でカバーしていない項目があったが、これにより、ISMSとしての管理策が、CSFの管理項目を包含した。
  • ISMS認証とは、
    • 「第三者であるISMS認証機関が、組織の構築したISMSがISO/IEC27001に基づいて適切に管理されているかを審査し証明すること。」
  • ISMS適合性評価制度は、

    • 「認証を公正に運用するために、認証機関、認定機関、要員認証機関等の役割と連携を規定した国際的な枠組み」
  • 【参照資料】

社会の進展に対応したISMSの変遷
  • 1995年 BS7799 ⇒ 2000年 ISO/IEC17799 ⇒ 2007年 ISO/IEC27002
マネジメント基準(ISO/IEC27001:2022)
  • 情報セキュリティマネジメントの計画、実行、点検、処置の各プロセスで行うべき事項を明確にしたもの。「マネジメント基準」は、原則、全て実施すべき事項である。
  • A.4.4_情報セキュリティマネジメントの確立
    • 4.4.1 組織の役割、責任及び権限 [27001:2013-5.3 / 5.1]
    • 4.4.2 組織及びその状況の理解 [27001:2013-4.1]
    • 4.4.3 利害関係者のニーズ及び期待の理解 [27001:2013-4.2]
    • 4.4.4 適用範囲の決定 [27001:2013-4.3]
    • 4.4.5 方針の確立 [27001:2013-5.2 / 6.2 / 5.1]
    • 4.4.6 リスク及び機会に対処する活動 [27001:2013-6.1]
    • 4.4.7 情報セキュリティリスクアセスメント [27001:2013-6.1.2]
    • 4.4.8 情報セキュリティリスク対応 [27001:2013-6.1.3]
  • A.4.5_情報セキュリティマネジメントの運用
    • 4.5.1 資源管理 [27001:2013-7.1 / 5.1]
    • 4.5.2 力量、認識 [27001:2013-7.2 / 7.3 / 5.1]
    • 4.5.3 コミュニケーション [27001:2013-7.4]
    • 4.5.4 情報セキュリティマネジメントの運用の計画及び管理 [27001:2013-8.1]
    • 4.5.5 情報セキュリティリスクアセスメントの実施 [27001:2013-8.2 / 8.3]
  • A.4.6_情報セキュリティマネジメントの監視及びレビュー
    • 4.6.1 有効性の継続的改善 [27001:2013-10.2 / 8.2 / 9.2 / 9.3 / 5.1]
    • 4.6.2 パフォーマンス評価 [27001:2013-9]
    • 4.6.3 マネジメントレビュー [27001:2013-9.3]
  • A.4.7_情報セキュリティマネジメントの維持及び改善
    • 4.7.1 是正処置 [27001:2013-10.1]
  • A.4.8_文書化した情報の管理
    • 4.8.1 文書化 [27001:2013-7.5.1]
    • 4.8.2 文書管理 [27001:2013-7.5.2 / 7.5.3]
管理策基準(ISO/IEC27001:2022)
  • 「管理策基準」は、組織における情報セキュリティマネジメントの確立段階において、リスク対応方 針に従って管理策を選択する際の選択肢を与えるもの
  • A.5_組織的対策
    • 37項目
    • 【新規】5.7 Threat intelligence(脅威インテリジェンス)
    • 【新規】5.23 Information security for use of cloud services(クラウドサービス利用のための情報セキュリティ)
    • 【新規】5.30 ICT readiness for business continuity(事業継続のためのICTの備え)
  • A.6_人的対策
    • 6項目
  • A.7_物理的対策
    • 13項目
    • 【新規】7.4 Physical security monitoring(物理的セキュリティの監視)
  • A.8_技術的対策
    • 34項目
    • 【新規】8.9 Configuration management(構成管理)
    • 【新規】8.10 Information deletion(情報削除)
    • 【新規】8.11 Data masking(データマスキング)
    • 【新規】8.12 Data leakage prevention(データ漏洩防止)
    • 【新規】8.16 Monitoring activities(監視活動)
    • 【新規】8.23 Web filtering(Webフィルタリング)
    • 【新規】8.28 Secure coding(セキュアコーディング)
属性
  • ※他の組織や団体が発行するガイドライン等との関連を明確にするもの
  • 各管理策は、「preventive 予防」、「detective 検出」、「corrective 是正」のいずれかに分類される。
  • また「confidentiality 機密性」、「integrity 完全性」、「availability 可用性」のいずれかに関連付けられる。
  • さらに、(サイバーセキュリティの概念、運用能力、セキュアドメインごとに) 属性のグループ分けできる。
  • コントロール種別
    • 予防的;発見的;是正的
  • 情報セキュリティ特性
    • 機密性;完全性;可用性
  • サイバーセキュリティ概念
  • 運用能力
    • ガバナンス;資産管理;情報保護;...
  • セキュリティドメイン

ISO 31000 リスクマネジメント

ISO/IEC 27000ファミリーの規格の改訂状況

5.2 サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)

意義
  • Society5.0を意識したセキュリティリスクとその対策方法について記述されている。
  • 自社の事業が従来のサプライチェーンから離れ、新しくバリュークリエイションプロセスへと発展した際に、単純なサイバー空間におけるセキュリティ対策から、サイバー空間とフィジカル空間のそれぞれにおけるリスクを洗い出し、そのセキュリティ対策を整理するための道具としてもCPSFは効果的に活用できると思われる。

5.3 セキュリティ関連NIST文書

重要インフラのサイバーセキュリティを改善するためのフレームワーク(CSF)
  • 概略
    • NIST サイバーセキュリティフレームワーク(CSF)の正式名称は、「重要インフラのサイバーセキュリティを向上させるためのフレームワーク」で、もともとは米国政府機関の重要インフラの運用者を対象として誕生
    • NISTで作成されたフレームワークであり、防御にとどまらず、検知・対応・復旧といったステップも含み、インシデント対応を含めており、日本においても、今後普及が見込まれる
    • 「サイバーセキュリティ経営ガイドライン Ver 2.0 」では、フレームワークとして、「付録D_国際規格ISOIEC27001及び27002との関係」でISMSとの対応関係とともに、「付録A サイバーセキュリティ経営チェックシート」でCSFとの対応関係も提示されている
    • CSFの利用方法については、「フレームワークをどのように利用するかは、それを実施する組織に委ねられている。」と述べられており、CSFは汎用的なフレームワークであるがゆえに、指示書やノウハウ集ではない点を理解しておくことが大切
  • 構成
    • ISMS情報セキュリティマネジメントシステム)との関連性
      • ISMSの属性の1つである「サイバーセキュリティ概念」の特定;防御;検知;対応;復旧の切り口を識別として、 指針や管理手法の対応が可能
    • フレームワークコア
      • 成果を達成するための対策と参考情報の一覧
      • 識別:29項目
      • 防御:39項目
      • 検知:18項目
      • 対応:16項目
      • 復旧:6項目
    • フレームワークインプリメンテーションティア
      • 対策情報を把握するための4段階の評価基準
      • ティア1:場当たり的、属人的である
      • ティア2:初期プロセスが整備されている
      • ティア3:プロセスが継続的に回っている
      • ティア4:プロセス自身の継続的改善に努めている
    • フレームワークプロファイル
      • コアとティアを組合せた、サイバーセキュリティ対策の「現在」と「目標」
      • 現在のプロファイル:現時点で達成されているサイバーセキュリティ成果
      • 目標のプロファイル:サイバーセキュリティリスクマネジメントの目標を達成するために必要な成果
  • 【要約資料】
    • [Sec01-03-05【スライド】経営リスク管理から考えるSecurity by Design(公開不可)]
    • [Cyber Security Framework(CSF)の実践におけるヒント(公開不可)]
SP800シリーズ
  • NIST SP 800とは?
  • CSFとSP 800の位置付け
    • セキュリティ管理の具体的な手法と手順を明記したガイドラインSP 800シリーズはCSFの下位概念で、CSFに則って整備されている。
  • NIST SP800-53とは?

    • 「NIST SP800-53(連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策)」は、米国連邦政府の内部セキュリティ基準を示すガイドライン
    • 日本においても、政府で導入するクラウドサービスに要求するセキュリティ管理基準(ISMAP)の一つとして本ガイドラインの採用方針を出している。
  • NIST SP 800-53とNIST SP 800-171との関連

  • NIST SP 800-171とは?

    • 「NIST SP800-171(連邦政府外のシステムと組織における管理された非格付け情報の保護)」は、NIST CSD(Computer Security Division)が提供するセキュリティ対策ガイドラインの一つ。
    • SP800シリーズで保護する情報には、政府の機密情報とされるCI(Classified Information)とそれ以外の重要情報と位置付けられるCUI(Controlled Unclassified Information)の2種類があり、米国では、SP800-171でCUIを管理すると定めている。
    • 日本の防衛装備庁も防衛産業におけるサイバーセキュリティ体制の強化のための施策を一層促進するため、 SP 800-171を参考に、「防衛産業サイバーセキュリティ基準」を整備している。
  • NIST SP 800-161とは?

    • 「システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントのガイダンス」
    • 調達から販売・供給までの一連のサプライチェーンに存在する業務委託先や関連企業のすべてにおいて、一貫したセキュリティ基準を持つことが必要だと述べられている。
    • NIST SP800-161の目的は、業務委託先や関連企業におけるセキュリティ対策である。
  • NIST SP 800-40とは?

  • NIST プライバシーフレームワーク Ver1.0とは?

5.4 サイバーセキュリティ経営の基本的な姿勢

I.サイバーセキュリティは経営問題
  • セキュリティ対策の実施を「コスト」と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて「投資」と捉えることが重要
  • セキュリティ投資は必要不可欠かつ経営者としての責務である。
II.経営者が認識すべき3原則
  • (1)経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
    • 対策の実施を通じたサイバーセキュリティに関する残留リスクを許容水準まで低減することは経営者の責務である旨を記載
  • (2)自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
  • (3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、関係者との適切なコミュニケーションが必要
    • 関係者とのコミュニケーションについて、社外のみならず、社内関係者とも積極的にコミュニケーションをとることが必要である旨を記載
実行すべき「重要7項目の取組」
  • 取組1 情報セキュリティに関する組織全体の対応方針を定める
  • 取組2 情報セキュリティ対策のための予算や人材などを確保する
  • 取組3 必要と考えられる対策を検討させて実行を指示する
  • 取組4 情報セキュリティ対策に関する適宜の見直しを指示する
  • 取組5 緊急時の対応や復旧のための体制を整備する
  • 取組6 委託や外部サービス利用の際にはセキュリティに関する責任を明確にする
  • 取組7 情報セキュリティに関する最新動向を収集する
III.サイバーセキュリティ経営の重要10項目
  • 指示1:サイバーセキュリティリスクの認識、組織全体での対応方針の策定
  • 指示2:サイバーセキュリティリスク管理体制の構築
  • 指示3:サイバーセキュリティ対策のための資源(予算、人材等)確保
    • セキュリティ業務に従事する従業員のみならず、全ての従業員が自らの業務遂行にあたってセキュリティを意識し、必要かつ十分なセキュリティ対策を実現できるスキル向上の取組が必要である旨を記載
  • 指示4:サイバーセキュリティリスクの把握とリスク対応に関する計画の策定
  • 指示5:サイバーセキュリティリスクに対応するための仕組みの構築
  • 指示6:サイバーセキュリティ対策におけるPDCAサイクルの実施
  • 指示7:インシデント発生時の緊急対応体制の整備
  • 指示8:インシデントによる被害に備えた復旧体制の整備
    • 事業継続の観点から、制御系も含めた業務の復旧プロセスと整合性のとれた復旧計画・体制の整備の必要性や対象を IT 系・社内・インシデントに限定せず、サプライチェーンも含めた実践的な演習の実施等について記載
  • 指示9:ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握
    • 自社へのリスク波及を防ぐ観点からサプライチェーン全体での対策が必要であること、委託先に一方的な対策を強いるのでなく、方策の実効性を高めることを記載
  • 指示10:情報共有活動への参加を通じた攻撃情報の入手とその有効活用及び提供
    • 有益な情報を得るためには適切な情報を提供することも必要であることを強調しつつ、被害の報告・公表への備えをすることやステークホルダーへの情報開示について記載

6.中小企業が組織として策定すべきサイバーセキュリティ対策関連規程【対策基準レベル】

  • ※網羅的なサイバーセキュリティ対策のフレームワーク等を参考に、組織の現状と目標に応じて必要十分な管理策を選択して、中小企業が組織として講じるべき対策(対策基準レベル)の概要を解説する。

  • 網羅的なフレームワークを参考に、組織の現状と目標に応じて必要十分な管理策を選択して、段階的に、組織としての対策基準を策定する。

  • ※対策基準を策定することにより、セキュリティ対策をしていることを内外に示し、説明責任を果たす。
  • ※対策基準のレベルは抽象度が高く、具体的に実践することはできない。この基準に従って、実際に対策が講じられるように、実施手順(実務者マニュアル)等を作成し、運用する。
  • ※対策基準に実施手順の一部を記載して、実施手順書の作成を省略することも可能。但し、内部での手順を記載した場合は、外部に示すことができず、説明責任は果たせない。

DX with Security

  • サービスの向上のためにセキュリティ対策は必須

6.1 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

6.2 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドラインのサンプルを活用して】

6.3 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

情報セキュリティのマネジメント基準

フレームワークで提示されている情報セキュリティマネジメント基準を参考に、組織の現状と目標に応じて必要十分な基準を選択して、セキュリティ対策の運用基準を明確にする。

確立
運用
監視及びレビュー
維持及び改善
ドキュメントの管理

情報セキュリティの管理策

「管理策」

※管理策に沿って、対策基準(各種関連規程)を策定する

組織的管理規程
人的管理規程
技術的管理規程
物理的管理規程

「属性」

※他の組織や団体が発行するガイドライン等との関連を明確にするもの

コントロール種別
  • 予防的;発見的;是正的
情報セキュリティ特性
  • 機密性;完全性;可用性
サイバーセキュリティ概念
  • 特定;防御;検知;対応;復旧
    • ※CSFと対応
運用機能
  • ガバナンス;#資産管理;#人的資源のセキュリティ;#物理的セキュリティ;#システム及びネットワークの セキュリティ;#アプリケーションセキュリティ;#セキュリティを保った構成;#識別情報及びアクセスの管理;#脅威及びぜい弱性の管理;#継続;#供給者関係のセキュリティ;#法令及び順守;#情報セキュリティ事象管理;#情報セキュリティ保証
セキュリティドメイン

7.中小企業が組織として実施すべきサイバーセキュリティ対策【実施手順・実務者マニュアルレベル】

  • ※中小企業が策定した対策基準に基づいて具体的に実施する内容、手順(実施手順レベル)を解説する。
  • 対策基準に記載された対策の具体的な実施のための仕様書、実施手順、業務マニュアル、ハンドブック、ルールブック、手引書等に記載すべき事項をひな形等で解説する
  • 補足
    • 公開を前提とせず、対策基準で明記した規程を具体的に行うために、組織内の各職制において、どんな時に何をどのように行うかを明示する。
    • ※対策基準が策定されても、具体的な手順等が用意されなければ、実効性を担保することは困難
    • ※また、対策基準を策定せずに、いきなり実施手順を作成すると、対策に漏れが生じて、十分な対策とならない可能性がある。
    • ※必要に応じて、職制毎、事象毎のガイドブックとして分冊とすることが有効

7.1 実施手順としての作成ドキュメントおよび作成手順

7.1.1 作成すべきドキュメント(共通及び職種等別)

  • 全社共通
  • 経営者層
  • 企画管理部門
  • システム構築実務者
  • サービス提供実務者
  • サービス利用者(一般従業員)
一般従業員向け
システム管理者・担当者向け
組織経営者・責任者向け

7.1.2 【LV.1】【クイックアプローチ】緊急性のある事象への対策【最近の重大インシデント対応の事例を参考に】

7.1.3 【LV.2】【ベースラインアプローチ】即効性・実効性のある対策を確保【中小企業の情報セキュリティ対策ガイドライン等のサンプルを活用して】

7.1.4 【LV.3】【網羅的アプローチ】じっくりと体系的・網羅的に【ISMS等の認証が可能なレベルを目指して】

  • 作成した対策基準が、「絵に書いた餅」にならないよう、7.1 以降の各項目に対応した手順を作成する

7.2 情報セキュリティマネジメントの確立・運用・監視及びレビュー・維持及び改善、文書管理の実施手順

7.3 組織的対策

作成する候補となる実施手順書類

  • 情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書(役割分担表、職務、管理責任、広報)作成及び実施(ISO/IEC27002:2022より抜粋)
  • 「脅威インテリジェンス」(情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施
  • 情報資産台帳作成・維持実施手順書(情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)の作成及び運用
  • クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成
  • 情報セキュリティインシデント管理の計画、インシデント対応マニュアル(防御・検知・対応・復旧)の作成
  • ICTサービスに関しての事業継続計画策定、実施、維持、テスト実施手順書の作成
  • 法的、法的、規制および契約上の要件等の確認手順書の作成
  • 知的財産、データ、プライバシー等の管理手順書の作成
  • セキュリティ対策状況の点検・監査・評価・認証
  • 文書化された各手順書のレビュー

情報化・サイバーセキュリティ・個人情報保護に関連する実施手順書作成及び実施

  • (役割分担表、職務、管理責任、広報)

情報セキュリティの脅威に関連する情報を収集・分析)の実施手順書作成及び実施

  • 「脅威インテリジェンス」

情報資産台帳作成・維持実施手順書の作成及び運用

  • (情報のアクセス権限、分類、ラベル付け、アクセス制御、アイデンティティ管理、認証情報)

クラウドサービス利用のための情報セキュリティ実施手順書、運用手引書等の作成

情報セキュリティインシデント管理の計画、インシデント対応マニュアルの作成

  • (防御・検知・対応・復旧)

ICTサービスに関しての事業継続計画(IT-BCP)策定、実施、維持、テスト実施手順書の作成

法的、法的、規制および契約上の要件等の確認手順書の作成

知的財産、データ、プライバシー等の管理手順書の作成

セキュリティ対策状況の点検・監査・評価・認証

外部委託契約(⇒技術的対策)

7.4 人的対策

作成する候補となる実施手順書類

  • スクリーニング、雇用契約書、懲戒手続き、雇用の終了または変更後の責任、守秘義務または秘密保持契約、リモートワーク実施手順、情報セキュリティ イベントの報告手順書等の作成・維持と運用

7.4.2 IT及びデジタル人材の確保

  • 【要約資料】
    • INFORMATION 6-6 DX時代に不可欠な人材の確保
      • S1 ビジネスの発展のための人材確保のポイント
        • S1.1.企業の維持・発展のために経営者が意識すること
          • SDGsの達成への貢献:社会的要請に応えることにより企業価値を創造
          • DXへの早期対応:他組織に先駆けて対応することによるビジネスチャンス
          • DX時代のビジネスチャンスを生かすためには、デジタルリテラシーを持った人材の確保が重要
        • S1.2.IT及びデジタル人材の確保
          • 「デジタルを作る人材」の確保
          • 「デジタルを作る人材」だけでなく「デジタルを使う人材」の育成も必須
          • 「リスキリング」:システム関連部署だけでなく、全員がデジタルリテラシーを持つ
          • 網羅的な素養を確保:人材育成が困難な場合は、外部の人材を積極的に活用
        • S1.3.サイバーセキュリティ対策人材
          • DX with Security:サービスの向上のためにセキュリティ対策は必須
          • まずはデジタルリテラシーを:具体的なセキュリティ対策実践するために
        • S1.4.人材育成:必要な素養を効率的・効果的に身に付けるために
      • S2. DX推進に必要な知識・スキルの体系
      • S3. 役割毎に必要な素養・スキル・知識のレベル
        • 経営者層
        • 企画管理部門
        • システム構築実務者
        • サービス提供実務者
        • サービス利用者
        • その他
    • DAX96-05_DX時代のビジネス展開のためのデジタルリテラシーの必要性と人材育成【詳細】
チェンジマインド
  • ※特に経営者の意識改革
  • 【要約資料】
「デジタルを作る人材」の確保
  • DXに対応するためには、「デジタルを作る人材」であるシステム関連部門では、従来からのITスキルに加えて、データサイエンス・AIを生かせるスキル、知識等が必要である。
「デジタルを使う人材」の育成
  • DXの推進には、「デジタルを使う人材」である事業担当部門でも、基礎的なデジタルリテラシーを持つことが必要である。
「リスキリング」
  • システム関連部署だけでなく、全員がデジタルリテラシーを持つ
    • 「デジタルを作る人材」、「デジタルを使う人材」は、「リスキリング」等により、現状にプラスするデジタルリテラシーを持った人材へとスキルアップすることが効果的である。
    • 「リスキリング」とは、組織が従業員が成果を発揮し続けられるように新たなスキルを獲得できるようにすることである。企業には、従業員にどんな新しいスキルを獲得してほしいのかを示し、スキル獲得の基盤を構築する責任がある。
    • IT及びデジタルを扱うシステムを担当する人材がいないために、十分なITスキルを持たない従業員に、システム管理者として、責任を負わせているケースも多い。その状態では、費用対効果の高い環境構築・運用は難しく、障害等に対応することは更に困難である。

7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準(DSS)】

DXリテラシー標準(DSS-L)
DX推進スキル標準(DSS-P)

7.4.4 人材育成・人材確保のための各種スキル標準

基礎情報技術者試験シラバス
情報セキュリティマネジメント試験シラバス
デジタルリテラシー領域(Di-Lite)
  • 組織において、DXの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」も含めた両輪の育成が必要となる。
  • 全てのビジネスパーソンがデジタル時代のコア・リテラシーを身につけていくことが求められる。
  • スキル・知識の領域

    • マインド: デジタルに取り組むスタンス、マインド
    • 知識体系: デジタル活用分野/適用事例、デジタル知識
    • デジタルを扱うスキル
      • 基礎: 使う、作る/なおす
      • 応用: より上手に使う/広める、発想する/活用方針を示す、新たに作る/教える
  • 領域をカバーする認定試験等

    • ITパスポート試験(iパス)
      • IT及びデジタルを扱う人が持っているべき基礎知識。「社会人の常識」とされている。
    • G検定(ジェネラリスト検定)
      • AI をビジネスに活用するための基礎素養。AIを活用した事業設計から、関連する法規、契約や倫理にまつわる内容など、 広い範囲のビジネス活用の知識。
    • データサイエンティスト検定(リテラシーレベル)
      • データサイエンティストに必要なデータサイエンス力・データエンジニアリング力・ビジネス力についてそれぞれ見習いレベルの実務能力や知識。
ITSS+
プラス・セキュリティ
  • 様々な人材層・部門において、専門人材との協働が求められる。(協働のためには、互いの領域への相互理解が前提となる。)
  • ユーザ企業の主体的なIT活用・DX実施において経営・事業を担う者がセキュリティ知識を補充できるように

7.5 技術的対策

作成する候補となる実施手順書類

  • エンドポイントデバイス、 特権アクセス権、安全な認証、マルウェアに対する保護、技術的脆弱性の管理、バックアップ、冗長化、ロギング、監視、特権ユーティリティの使用、ネットワークの分離、Webフィルタリング、暗号の使用、開発ライフサイクル、アプリケーションのセキュリティ要件、セキュアコーディング、受入検査時のセキュリティテスト、外部委託開発要件、本番環境の分離、変更管理、テスト情報、情報システムの保護等に関する実施手順書

Security by Design

  • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。

共同責任モデル

対象領域

  • ユーザ、データ、アプリケーション、OS、サーバ、ネットワーク、ストレージ

「境界防御モデル」

  • FW、VPN、Proxy、IDS、IPS、UTM、EDR

ゼロトラスト、ZTA(Zero Trust Architecture)、SASE(Secure Access Service Edge)のフレームワーク

ネットワーク制御(Network as a Service)

  • VPN
  • SD-WAN
    • VPNに代わって今後の普及が見込まれる。
    • SD-WAN(Software Defined-Wide Area Network)とは、ネットワークをソフトウェアで制御するSDN(Software Defined Networking)の技術をWANに適用し、拠点間接続やクラウド接続などにおいて柔軟なネットワーク構成やトラフィックコントロールなどを実現する技術やサービス

セキュリティ統制(Security as a Service)

  • ネットワーク・セキュリティ
    • SWG (Secure Web Gateway)
      • Webアクセスを中継するプロキシの一種で、危険なサイトやコンテンツへのアクセスを遮断するセキュリティ機能をクラウドサービスとして提供する
    • SDP (Software Defined Perimeter)
      • 仮想的かつ動的なマイクロセグメンテーションおよびセキュアなリモートアクセスを実現する
  • バイス・セキュリティ
    • EDR (Endpoint Detection and Response)
      • エンドポイントの一元管理を行うUEM※4やマルウェア侵入後の対策を支援する
    • EPP (Endpoint Protection Platform)
      • エンドポイントを保護するためにプラットフォーム
    • MDM (Mobile Device Management)
  • アイデンティティ・セキュリティ
    • IAM (Identity and Access Management)
      • IDの管理・認証・認可を行う
    • FIDO (Fast Identity Online)
      • FIDO認証の持つ大きな特徴は、単に、「パスワードを使わない」 「生体認証やセキュリティキーを使う」ということではなく、「サーバーとユーザーで秘密の情報を共有しない」 こと
      • 認証結果を公開鍵暗号方式により」ネットワーク上で安全にやりとりするための仕様が定められており、認証に必要な秘密情報は認証を行う端末のみに保存され、ネットワーク上での伝送やサーバーに保存する必要がない
        • サーバがユーザの秘密(秘密鍵やユーザデバイスの生体認証情報など)を保管しないため、通信経路、事業者側環境から認証情報が漏洩することはない
  • ワークロード・セキュリティ
    • CWPP (Cloud Workload Protection Platform)
      • クラウド上の仮想マシン、データベース、コンテナー、アプリケーション等を中心とした監視と保護のセキュリティソリューション
  • データ・セキュリティ
    • DLP (Data Loss Prevention)
      • 機密情報を特定することで、ユーザではなく、情報に対するアクセスや操作を監視することで漏えいを防止する仕組み。
  • 可視化と分析
    • CASB (Cloud Access Security Broker)
      • 統合的にログを管理・可視化・分析するSIEM※6やインターネットアクセスを可視化・制御する
    • SIEM (Security Information and Event Management)
      • ファイアウォールIDS/IPS、プロキシなどから出力されるログやデータを一元的に集約し、それらのデータを組み合わせて相関分析を行うことにより、ネットワークの監視やサイバー攻撃マルウェア感染などのインシデントを検知することを目的とした仕組み
    • CSPM (Cloud Security Posture Management)
      • IaaS/PaaSの設定ミス・脆弱性などクラウドのセキュリティ常態を可視化・管理する
  • 自動化
    • SOAR (Security Orchestration and Automation Response)
      • インシデントレスポンスを自動化する

IT環境構築・運用実施手順

  • Security by Design
    • IT環境の構築に当たっては、企画・設計段階において、サービスの機能要件と併せて非機能要件のセキュリティ対策も設計し実装する。
  • DevSecOps
    • DevSecOpsとは、情報システムにおいて開発(Development)と運用(Operations)が密に連携することで、開発にかかる期間を短縮し、リリース頻度を高める開発スタイル。
    • このDevOpsにセキュリティ(Security)も融合させることで、セキュリティを確保しつつ、開発スピードを損なわないスタイル。
サービス構築・運用マニュアル
  • 【参照資料】
    • 政府情報システムの整備及び管理に関する標準ガイドライン【一般論】【実務手引書】

従来型開発モデル【ウォーターフォールモデル】での開発プロセス

サービス要件定義と留意点
  • 要件定義書記載項目(一般要件)
    • 業務要件

      • ・・・
      • 業務の継続の方針等
        • 業務の継続に伴うリスク及び基本的な考え方。なお、業務継続計画を策定する必要がある業務にあっては当該計画の策定時に検討
        • 定常時と大規模災害等の発災時に考慮すべき要因
      • 情報セキュリティ対策基準を適用する対策(組織的、人的、物理的対策)
        • 取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方
        • 情報セキュリティ上のリスクを特定し、その対策をシステム化要件(機能要件及び非機能要件)として定義できるように、情報セキュリティ対策の対象となる情報について、情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化
    • 機能要件

      • ・・・
      • 画面(GUI)(GUI)に関する事項
        • ユーザ認証等を含めた画面遷移の基本的考え方、画面入出力要件・画面設計要件等
      • 外部インタフェース(API)に関する事項
        • 外部インタフェース一覧、相手先システム、送受信データ、送受信タイミング、送受信の条件等
      • ・・・
    • 非機能要件
      • ・・・
      • 信頼性に関する事項
        • 稼働率等の可用性要件・目標値、データの滅失・改変を防止する完全性要件
      • 継続性に関する事項
        • 障害、災害等による情報システムの問題発生時に求められる必要最低限の機能、その目標復旧時間
      • 情報セキュリティに関する事項(技術的対策)
        • 主体認証、アクセス制御、権限管理、ログ取得及びログ管理、暗号化及び電子署名、ソフトウェアの脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策等
      • ・・・
各仕様書の妥当性評価
  • 各仕様書の記述内容

    • (サービス要件定義書、システム化要件定義書、調達仕様書、開発段階での仕様書、作業指示書、、)
    • 曖昧性・不確実性の排除
      • プロセスと成果物の具体化度を明確にしないで、成果物名のみの提示は齟齬が生じる
      • 「柔軟に対応できること?」は、工数が見積もれない
    • 読むべき人が理解できるか?
      • その仕様書をインプットとして、難易度の認識、妥当な工数見積もりができるかを評価
    • 方法としての選択肢は可
      • コストが高くても将来性、柔軟性のある方法
      • コストが安いが、当面の課題は解決で
  • 参考見積書の評価

    • 曖昧な仕様書では安全係数が大きくなり、高額な見積もりになる
    • 業者の高額な参考見積もりを鵜呑みにして安易な要件緩和やスペックダウンはしない
    • 提案もしくは指示した実施方法が明確な場合は、具体的な作業と要する工数を評価する
      • ある程度の実地の経験は必要
    • 競争入札になれば、適正な価格に近づく。随意契約の場合は、妥当と思われるまで調整する必要がある
    • 「単価が高いから見積もりが高くなる」という評価は正しくない
開発タスクと作成ドキュメント
  • ★政府標準ガイドラインに沿った開発タスクとドキュメント、ドキュメントに記載されるべき項目
  • 企画段階
  • 予算要求~調達準備
  • 提案要求~契約
  • 設計・開発~本番移行
  • 運用開始~保守
  • システム監査
調達方式の決定の判断、調達方式の違いによる仕様書の精緻度
  • ◇請負業務
  • 公募
  • 一般競争入札
    • 最低価格落札方式
      • 基本は、一般競争入札(最低価格落札方式)
      • ・仕様書の解釈により、実施内容にブレがでない詳細な仕様提示が必要
      • ・予定価格の妥当性の評価は必要だが、業者見積もりの妥当性は評価する能力は求められない
    • 総合評価落札方式
      • ・提案者の創意工夫の余地を残し、提案内容の優劣を技術点で評価する
  • 企画競争
    • ・具体的な実装方式を特定せず、提案者の創意工夫の内容の優劣で評価する
    • ・業者を選定後は、随意契約として扱われる
  • 随意契約
    • ・業者の言いなりにならないようにすることが肝要
    • 実施内容と業者見積もり額の妥当性を精緻に評価する能力が必要
  • ◇委任契約
情報システム関連仕様書・契約書

アジャイル開発モデルでの進め方と留意点

政府標準ガイドラインに沿った開発タスクと必要なスキル・知識の選択的習得

インシデント対応マニュアル

IT部門と事業部門の連携による顧客課題の解決

  • 事業部門の参画

7.6 物理的対策

7.7 セキュリティ対策状況の有効性評価

  • 内部点検
    • 当事者による検査
  • 内部監査
    • 組織内の当事者以外の者による検査
    • 自社のルールや文書が要求事項を満たしているか、そしてルール通りに実施できているかを自社内でチェックすること
    • ドキュメント:1)内部監査計画 2)内部監査チェックリスト 3)内部監査報告書 等
  • 外部監査
    • 組織外の者による検査
  • 三者認証

8.全体総括

全体のポイントの振り返り

今後の方向性

Annex-1 関係法規、各種規程、フレームワーク等の紹介

関係法規

各種規程

セキュリティ関係フレームワーク

Annex-2 用語解説

  • SD-WAN
  • FIDO
  • SASE
  • ...

Annex-3 参考にすべき文献・Webサイトリスト

国等の施策・計画文書・白書・解説書

基本文書(法律・基本計画・各種方針等)
各種白書・年次報告書類
システム管理・監査関連の基準
情報セキュリティ関連フレームワーク及び規格類

サイバーセキュリティ対策関連ガイドライン

組織的・人的対策全般

働き方改革関連
プライバシーガバナンス-個人情報保護-関連
事業継続計画関連

技術的対策全般

DX、DX with Security関連
IoT、ビッグデータ、ロボット、AI、5G関連
DX及びセキュリティ人材育成
サービス企画・設計
システム開発・運用
インシデント対応関連

手元に置いておきたい書籍、電子書籍

網羅的な情報の中から素早く見つけるためポータルサイト

本ページでの主な参考資料・文献名(発行元別)

備考

改版履歴

  • 2023年1月30日 随時改訂中
  • 2023年1月23日 iコンピテンシディクショナリ(iCD2022)を追加
  • 2023年1月4日 7.4.3 最新の人材育成・人材確保のための標準フレームワーク【デジタルスキル標準(DSS)】を追加
  • 2022年11月22日 知識の保管庫(ナレッジベース)Ver.2.0として、「極意」の続編と位置づけ、フレームワークに準拠した体系的なセキュリティ対策の教則本の目次としてリニューアル。
  • 2022年7月11日 「サイバーセキュリティ2022(2021年度年次報告・2022年度年次計画)」のポイント要約を追加
  • 2022年6月25日 各ドキュメントのMindMap版を追加
  • 2022年2月17日 「東京都デジタル人材確保・育成基本方針」の要約を追加
  • 2022年2月8日 セキュリティ対策を確実にするための⼈材育成の事業紹介を追加
  • 2022年1月28日 補足・コラム、個人情報保護関連を追加
  • 2022年1月20日 NIST関連、デジタル社会の実現に向けた改革関連を追加
  • 2022年1月18日 ISO/IEC 27002、個人情報保護法の改正関連を追加
  • 2022年1月11日 ITSS+関連を追加
  • 2021年12月27日 「サイバーセキュリティ戦略(NISC)」の要約等を追加
  • 2021年10月7日 試験公開を開始
『中小企業向けサイバーセキュリティ対策の極意』ポータルサイトへのリンク

ガイドブック『中小企業向けサイバーセキュリティ対策の極意』の使い方

【東京都が公開しているガイドブック】


【ガイドブックの使い方】

本ガイドブックは、中小企業の経営者、システム管理者のみなさんに、サイバー攻撃について必ず行うべき対策や、事故が発生した場合の初期対応などを、なるべく分かりやすく解説しています。

PCやスマートフォンにダウンロードして、いつでも見られるようにしてご活用ください。

■クイックリスト

相談窓口に寄せられた相談をもとに、大きく3つに分類しました。的確な対処のために、目的に応じて、まずはクイックリストを参考に検討してください。

■どんなサイバー攻撃があるのかを知る

■被害を予防するための対策を行う

■経営者が備えるべきことを知る

■会社としての対応計画を準備する

■攻撃シーンを想定して実際に行動する

■対策の参考になる資料・情報を探す

本書では、これだけは必ず実践してほしい項目に「すぐやろう」マークを付けました。このマークが付いている項目は優先的に確認し、必ず実施しましょう。

CHECK 今すぐチェックしておくべきこと

POINT 攻撃について知っておくべきこと

ACTION 対策のために行動するべきこと

【ニュースクリップ】ガイドブック『中小企業向けサイバーセキュリティ対策の極意』EPUB版の改訂について

ガイドブック『中小企業向けサイバーセキュリティ対策の極意』EPUB版は、ICT関連、サイバーセキュリティ関連の最新情報、詳細情報を反映して、Ver.2.1に改訂されました。引き続き、順次、更新されています。
最新版は、ガイドブックのページにあるEPUB版、Web版を活用してください。

https://cybersecurity-tokyo.jp/security/guidebook/361/index.html

今回改訂版

改訂箇所

改訂履歴

Ver.2.1 2021年10月15日 EPUB版Ver.2.1公開
Ver.2.0 2021年8月6日 EPUB版Ver.2.0公開
Ver.2.0 2021年3月26日 PDF版Ver.2.0公開
Ver.1.0 2017年11月 冊子版・PDF版Ver.1.0公開

内閣サイバーセキュリティセンターによる注意喚起について

 2021年7月19日、内閣サイバーセキュリティセンター(NISC)および警察庁からサイバー攻撃に関する注意喚起が発出されました。

https://www.nisc.go.jp/press/pdf/20210719NISC_press.pdf

 個人、職場において様々な手口によるサイバー攻撃の被害に遭わないためにも、基本的なセキュリティ対策を漏れなく、確実に実施する必要があります。IPAでは 1. 組織のシステム管理者向け 2. 組織の利用者向け 3. 家庭の利用者向けに「日常における情報セキュリティ対策」について説明するウェブページを公開しています。この機会に改めて確認し、対策の一層の強化を行ってください。

 

「我が国政府としても、サイバー空間の安全を脅かす APT40 等の攻撃を強い懸念
を持って注視してきており、7月 19 日、こうした悪意あるサイバー活動を断固非
難するとともに、厳しく取り組んでいく旨の外務報道官談話を発出しました。
(中国政府を背景に持つ APT40 といわれるサイバー攻撃グループによるサイバー
攻撃等について(外務報道官談話) 」

 

www.mofa.go.jp

AIを活用した「知の共有化」システムの方向性 ―「未来の図書館を作るとは(長尾真)」の実現に向けてー

2017年9月8日

国立国会図書館 専門調査員・電子情報部長

同志社大学大学院総合政策科学研究科 嘱託講師

中山正樹

1. はじめに

1980年代後半に検討が開始された電子図書館事業は、1990年前半に策定された電子図書館関連の構想において「地球規模の知的財産を誰でも容易に利用できるようにする」という目標を掲げると同時に、1990年代中旬に我が国で最初の実用化実証システムとして、「ネットワーク環境における情報と文献の利用のための高度検索システム(Ariadne)」(京都大学)(*1)、パイロット電子図書館実証実験プロジェクト(国立国会図書館(NDL))での実用化実証実験(*2)が行われた。国の動きでは、2003年には、e-Japan重点計画2003、e-JAPAN戦略Ⅱ加速化パッケージ、(内閣官房IT戦略本部)において、「国のデジタルアーカイブ構想」、「ジャパンウェブアーカイブ構想」の実現を、また2004年には、e-Japan重点計画2004において「国立デジタルアーカイブポータル構想」を一層推進することが明記された。このような動きと同期して、国立国会図書館では、国立国会電子図書館中期計画2004(*3)を策定し、①「デジタル・アーカイブの構築」として、国立国会図書館デジタルコレクション、国立国会図書館インターネット資料収集保存事業(WARP)」、 ②「情報資源に関する情報の充実」として「リサーチナビ、レファレンス協同データベース」③「デジタル・アーカイブのポータル機能」として「国立国会図書館サーチ」を構築し提供した。2005年7月に試験公開したPORTAのプロトタイプは、ナショナルアーカイブポータルの原点と言え、インキュベータの役割を果たした。(*4)さらに「東日本大震災アーカイブひなぎく)」により大震災関連の記録・記憶に限定はされているが、従来の図書館の枠を越えたデジタル知識基盤の構築を進めてきた。

現在は、分野を特定せず、図書館を含めて文化情報資源、知的情報資源を保有する機関(以降、「アーカイブ機関」という。)が連携して、日本全体でのデジタル知識基盤を構築し、様々分野の情報を知識として保存し活用できるようにする機運が高まり、活動が活性化してきた。

デジタル知識基盤を構築するに当たっては、ビジネス、制度、組織、技術等の観点から相互に関連し合う課題が多い。情報システムの構築とサービス展開、知的情報のデジタル化においては、いわゆる「第4次産業革命」、「デジタルトランスフォーメーション(デジタル革命)」と言われる技術革新とビジネス変革の時期に来ている。そのような現状と今後の展開を考慮すると、長尾元国立国会図書館長が2012年3月にNDLを退官される際に職員に配布された「未来の図書館を作るとは」(*5)の中で示された「未来には実現できるだろう」とされたことが、「今、この時代」の図書館で実現できるレベルにあり、これから構築する「デジタル知識基盤」は、第4次産業革命、デジタル革命の方向性に沿うことが必要と考える。

 各アーカイブ機関が、デジタル知識基盤に対応したデジタルアーカイブシステムの構築を、適正な内容と費用で行うためには、有効性が確認されている標準的な調達手順(プロセス)で行うことが重要である。「政府情報システムの整備及び管理に関する標準ガイドライン」(各府省情報化統括責任者(CIO)会議)(*6)は、政府機関全てでのシステム構築のプロセスと成果物を規定しているもガイドラインであり、これを参考にすることにより過不足のない調達要件を受託者に提示して、適正な手順で、適切な技術、パッケージを活用したシステム開発を効率的・効果的に行うことができる。

さらに、「政府情報システムの整備及び管理に関する標準ガイドライン」に沿った開発プロセス(タスク)を遂行できる情報システム関連の担当者の人材育成は、開発工程の個々のタスクに必要なスキルと知識の項目が示されている「iコンピテンシ・ディクショナリ(iCD)」(2016年情報処理振興機構(IPA))(*7)が参考になる。iCDで網羅的に示されたタスク毎のスキル、知識の中から、担当するタスクに応じて選択的に身に付けることにより、実践的な人材を効率的に育成することができる。

2.「知の共有化」とは

図書館が保有する冊子体資料目録のデジタル化から始まり、冊子体資料のデジタル化、ボーンデジタルの著作物を扱う「電子図書館」、「デジタルライブラリ」、学術情報、研究データも含めあらゆる情報を知識として活用できるようにする「知識インフラ」、美術館、博物館等を含めて文化情報資源全体の「文化資産ナショナルアーカイブ」等、更に同義語的に、インターネット資料、オンライン資料、電子出版物、電子書籍、電子雑誌、知的情報基盤、文化情報資源、文化情報資産、デジタルアーカイブ、ナショナルアーカイブ、インターナショナルアーカイブ等、時の流れの中で、目指すところは同様でありながら全体集合、部分集合の違いにより、様々な呼び方をされてきたが、知識全般を扱う適切な言葉が共有されていないのが現状である。

本稿では、アーカイブ機関に限らず、あらゆる組織、個人がデジタル化した情報を共通的に保存し利活用できるようにする基盤を「デジタル知識基盤」といい、「デジタル知識基盤」により、新たな知識を創造し還流することを「知の共有化」として記述する。

3.デジタルトランスフォーメーション(デジタル変革)

今は、IoT、ビッグデータ、ロボット、AI等の技術革新による、いわゆる「第4次産業革命」の入り口にいる。あらゆるものがインターネットに接続するIoTの広がり、あらゆる情報がビッグデータとして活用され、AI技術により、様々な分野で定型的な業務はもとより、人海戦術では不可能だった業務まで、AI技術を適用したサービス、ロボットの適用が始まっている。既存のビジネスや業務に新技術を取り入れるだけでなく、ビジネスモデルを変え、経済活用のみならず、個人の生活や社会構造まで影響が及ぶ。(*8)

デジタルフォーメーション(デジタル変革)とは、あらゆる情報がデジタル化され、IT技術によって、社会や産業、企業、人のあり方や働き方が変わっていくこと。第4次産業革命が進むにつれて、発展するビジネスと縮小するビジネスが明確になっていく。時代環境が大きく変わる時、それにそぐわないビジネスは淘汰されていく。匠の技的な高度な伝統的技能を要する作業や、旧来の延長線で仕組みの高度化、洗練により、生き残れるビジネスもあるが、現状維持のビジネスの多くは、相対的に意義を失う可能性が高い。

しかし、IoT、ビッグデータ、ロボット、AI等の技術を、クラウドコンピューティングやモバイル環境で容易に活用できるようになったことは、少ない投資で事業や先進サービスを立ち上げることが可能になった。各アーカイブ機関においても同様であり、利用者へのサービスを向上して、機関の存在意義を高める大きなチャンスでもある。

4. 「未来の図書館を作るとは」【長尾先生】を読み返して

「未来の図書館」の概念

・「人間の持っている知識は頭脳の中にあり、種々の知識が何らかの関係性によってつながれていて、連想的に関係する知識が取りだされている」

・「図書館においてもぼう大な書物の中に存在する知識が関連性をもって書物という単位を超えてつなげられ、それが取り出されることが大切であろう。」

・「本のある部分に存在する単語や概念を集め、それらに近い単語や概念が存在する部分を他の本について網羅的に調べる」

・関連する知識を人間頭脳の中のネットワークのようにつないで、利用者の要求に応じて提示できるような形の電子図書館の内容の組織化が望まれているのである。

電子図書館における図書・資料は部品に解体され、それぞれが種々の観点からリンク付けされた巨大なネットワーク構造が作られるようにする。これは1つの社会で共有する中立的な知識構造、知識システムである。

・個人によって違った知識の構造の部分については、その人の力によって種々の検索方式を試み、自分の必要とする情報をとり出して中立的な知識の構造に付加してゆくことが出来ねばならないし、またそれによって自分に合った知識の構造を作りあげてゆくことができるだろう。

・現実世界の本や情報の大切さ以上にヴァーチュアルな世界における情報処理と表現力の可能性にもっと大きな関心を持つべき時代に来ていると言えるのではないだろうか。

「未来の図書館を作るとは」(長尾真)より抜粋

電子図書館」(1994年長尾真著)では、「既存の図書や資料をデジタル化すればそれで電子図書館が実現するかといえばそうではない。あるべき姿はデジタル化された情報を縦横に使いこなし、まったく新しい知的空間を創造するための図書館である。」(*9)とされており、「Ariadne」はその理念に基づいた実用化実証実験システムである。

「未来の図書館を作るには」(*5)が発行された2012年初めは、まだ第3次人工知能(AI)ブームの前で、AIはまだブレークスルーしていなかった。しかし、2012年以降のAIにおける機械学習ディープラーニング手法等により飛躍的に進展し、また、アーカイブ機関での資料のデジタル化、デジタルコンテンツのオープンデータ化、LOD化の加速化により、AIが扱える質の高いビッグデータが揃いつつある状況で、「未来の図書館を作るには」の中で「未来」と示唆されていた相当な範囲の仕組みが、今後5年程度で実用化を見通せるようになった。そこで、2017年時点での第4次産業革命等の動向を踏まえて、「未来の図書館を作るには」で示唆された提言の実現性について考察したい。

5.知的情報資源のビッグデータとしての活用の可能性

図書館等のアーカイブ機関は、従来から専門員の知識・ノウハウにより統制され形式知化してきた情報を保有している。二次情報としてのメタデータ、書誌情報、情報を見つけ出すための情報としてのレファレンス情報(参考情報)、Q&A、調べ方案内情報等は、既にビッグデータとして活用できる状況であるが、一次情報としてイメージデータ化されたデジタルコンテンツの内容本文は、検索にはほとんど利用されていない。

今後、ビッグデータとして活用が期待される情報として、アーカイブ機関のデジタルアーカイブ内で保有している一次情報があり、オープンデータ化されていない情報も含めて、全文テキストを活用した検索インデックスの作成をはじめ、AIの学習データとして活用するサービスが認められる方向である。

6.「知の共有化」システムの方向性

Web2.0時代と言われた頃、図書館界ではOpac2.0と称するサービスで、いわゆるAIとまでは言えないが、AIを指向した組織化、検索サービス等の実現を目指してきた。

既にインターネット上に広範な情報が公開されているが、ここ数年で、文化機関、公的機関が保有している情報もオープンデータ化が進みつつあり、ビッグデータとして利活用できる方向に向かっている。このような時代に、従来の業務やサービスは、AIが組み込まれたシステムやロボットに支援されてサービスが省力化され、さらにビッグデータとして網羅性が確保されることにより、「知の共有化」が可能な新たなサービスが生まれようとしている

6.1.  知識インフラの概念

・知識インフラ構築における最も大切な概念は、情報を集め、これを知識化し活用することによって新しい情報・知識を創出し、知識インフラに加えるという形で循環的にこのシステムを強化・拡大してゆくことによって社会・経済に貢献することである。

・知識が種々の観点から組織化、構造化されて利用しやすい形で蓄積されて利用に供される

「未来の図書館を作るとは」(長尾真)より抜粋

f:id:mskn:20210701135455p:plain

図1 知識情報基盤の構築モデル

既に、第4期科学技術基本計画「科学技術に関する基本政策について」(内閣府 総合科学技術会議2010年)では、文献等研究情報のデジタル化、オープンアクセスの推進等とともに、「文献から研究データまでの学術情報全体を統合して検索・抽出が可能なシステム(「知識インフラ」)の展開を図る」とされていた。(*10)

図書館の視点で見れば、専門家によって作成されてきた、書誌、辞書、典拠(シソーラス)類に加えて、著作物のイメージ画像、全文フルテキスト、目次、索引、あらすじ、書評等、出版界や図書館界で従来から形式知化してきた情報を、信頼性の高いビッグデータとして利用可能にし、AIの教師用データとして投入・学習することにより、長尾先生が1994年に提唱した「電子図書館」が、信頼性の高い知識を豊富に持った「AI化されたデジタル知識基盤」として実現することになる。

6.2.       文化情報資源のナショナルアーカイブ

・【長尾先生】図書館は、書物等の情報資源を収集・保存し提供する場であるとともに、それらを使って関心のある人が集まって議論し新しい知識を創造する場

・【長尾先生】日本としてのナショナルアーカイブは、日本中に存在する知識情報が有機的に結合され、日本中の人が自由に使える日本の「知識インフラ」

「未来の図書館を作るとは」(長尾真)より抜粋

f:id:mskn:20210701135715p:plain

図2 文化財を含めたナショナルアーカイブの機能イメージ

文化財を含めたナショナルアーカイブの機能イメージ」は、2012~2014年に描いた図である。(*11) (*12)

我が国の多様な文化を知識として保存・継承する役割、様々な分野の専門家が参加し、新たな文化を知識として創造していくための社会的な基盤としての役割、それらの知識を利用目的に応じて発信する役割、そして、これらの仕組みを統括し運用していく役割が考えられ、文化的資産を館種毎に集約している拠点と、新たな知識を創造し発信している拠点等が分担して構築・運用していくことを想定した。(*13)

6.3.       恒久的保存基盤(あらゆる情報の恒久的保存)

恒久保存と利活用のための共通プラットフォームで、1つの機関にすべてを集約するのではなく、各分野のアーカイブを集約する拠点が中核となって分散アーカイブを構築する。あたかも1つのアーカイブとして見えるように、個々の情報同士を意味的に関連付け、検索で情報を取り出すだけでなく、取り出された情報から芋づる式に関連する情報を取り出せるようにする。分野での情報の網羅性・完全性が重要であり、また異分野の情報との関連付けにより、AIとしての知識として活用できる。

6.4.       知識創造基盤(新たな知識創造活動の場)

キュレーター、ライブラリアン等の支援のもとで、それぞれの分野の専門家のみならず、広く国民も含めて、情報に付加価値を付けたり、他の分野の情報と関連付けて、二次的著作物を創造する場として想定した。

6.4.1.        知識創造支援機能

情報全体の基本情報としてのメタデータを付与する活動、記事、章節項、文節等の単位で組織化・構造化する活動、情報間を意味的に関連付けるための基本情報として、用語辞書、典拠、シソーラス辞書等を作成する活動である。

  • 辞書類作成

辞書類の作成において、コーパスは、AIの支援により省力化が進むと思われる。

件名典拠、シソーラスは、本文フルテキストもAIへの入力データとして特徴量を抽出することにより、書誌データのみならず、本文テキストから標目を抽出することが可能になり、また、コーパスを利用することにより、同義語、上位語、下位語、関連語、分類記号の関係づけをすることも可能になると思われる。固有名典拠は、既に刊行されている書籍の著者に関して、AIを利用して、著作名、著者、出版年、NDC分類等の特徴量を抽出・分析することにより、著者の自動同定の精度は相当向上すると思われる。AIにより、省力化、自動化ができることにより、書籍だけでなく雑誌記事等も含めて、固有名典拠の自動作成が可能になる。

NDC分類は、件名典拠をベースにした分類の番号体系は、人間の判断によるところが大きいので、容易にAI化することは困難と思われるが、分類を番号体系でなく意味的なシソーラス体系として維持し、改訂していく作業は、AIにより体系を整理することは可能になる。また番号体系の版毎の対比表の維持も人手を介さずに行えるようになると思われる。

ただ、配架のための分類という考え方、資料検索のための分類体系は、全文検索を含めて様々なレベルでの検索が容易になってくる状況において、役割を問い直す必要があるのではないか。

  • 情報を関連付けるための情報

情報を関連付けるための情報として、まず共通語彙がある。分野を超えた情報交換を行うには、個々の単語について、表記・意味・データ構造を統一し、互いに意味が通じるようにすることが必要であり、AIの知識として蓄積する場合、共通語彙になっていることが学習の効率を高められる。

 情報と情報を結びつけるための情報として、コーパスオントロジー分野別シソーラス、各種用語辞書、DBPedia等があり、それらが、永続的識別子となって、Linked Data化されていると、より精度の高い関連付けが可能になる。データに用いる文字や用語を共通化し、情報の共有や活用を円滑に行うための基盤であるIMI(Infrastructure for Multilayer Interoperability:情報共有基盤)の構築への参画、連携が重要である。

  • 情報に関する情報の組織化

情報の組織化は、二次情報としての書誌、メタデータの作成があるが、新しい著作物に対するNDC分類、件名などは、既存の書誌、典拠を教師データとして蓄積することにより、AIによりかなりの精度の自動付与が可能になる。専門家は、AIによる精度に応じてチェック、補正することが役割になるのではないか。また、雑誌記事に関しても、記事を著作単位とした書誌作成がAIにより省力化して付与が可能になる。

f:id:mskn:20210701135757p:plain

図3 種々の検索システム(「未来の図書館を作るとは」より)

f:id:mskn:20210701135815p:plain

図4 書籍の構造化(「未来の図書館を作るとは」より)

・従来の書誌情報の考え方をマルチメディア情報に対応できるように拡張かつ詳細化するとともに、対象資料に関係する様々な種類の情報にリンクをはり、それらの情報をたどってゆけるようにする

「未来の図書館を作るとは」(長尾真)より抜粋

・図書・資料は部品に解体され、それぞれが種々の観点からリンク付けされた巨大なネットワーク構造が作られるようにする

・目次情報を付けたり、本の表紙の画像や数行の簡単な要旨を付ける

・動画・静止画・音声は、画像認識機能により自動タグ付け

「未来の図書館を作るとは」(長尾真)より抜粋

6.4.2.        知識創造活動

新たな知識を創造する活動は、図書館等のアーカイブ機関の主たる目的の一つであり、デジタル知識基盤の中で、恒久的保存基盤に格納された網羅的な情報を活用して新たな知識を創作する活動である。歴史的な文化財や現代文化を映像化、画像化、テキスト化する活動、構造化された情報に解題情報等を付与する活動、情報間を意味的に関連付ける活動、テーマを設定してデジタルギャラリを構築する活動等も創造活動の一つと位置づけられる。創造活動が、効率的に行えることにより、質、量ともに多くの知識が再生産され、創造された知識は、恒久的保存基盤でアーカイブされることを想定した。

・既存の知識から自分の必要とする部分を切り出して、新たな発想の著作を創造し、新たな知識とする

「未来の図書館を作るとは」(長尾真)より抜粋

6.4.3.        新たな知識創造の場としての図書館

図書館等の機関は、自館が保有している資料に加えて、「デジタル知識基盤」で共有されている知識を組合わせて提供し、知識創造の場として、施設としての実空間と、インターネットを利用した仮想空間が、相互にシームレスに、「場」として利用できるものを想定する。

情報を媒介して専門家と専門家を繋ぐこと、様々な組織が持つ情報が関連付けられて、それぞれの組織を中心に活動していた人が繋がっていくこと、専門家を媒介して辞書と辞書を繋ぐことを可能にして、様々な分野の人たちが保有する知識が有機的に関連付けられ、それを活用して、更に利用者同士がつながっていく「場」としての機能を期待する。

・司書の世話にならなくてもある程度のレファレンスサービスが受けられるように

自然言語による質問要求を受け付けて、取り出したものがその要求に対応するものであるかどうかを自然言語処理技術によって調べ、できるだけ質問要求に近いものだけを選択する

「未来の図書館を作るとは」(長尾真)より抜粋

・議論の場の提供という図書館機能

・解決したいという人達と研究者、そして図書館司書のグループが種々の角度から資料をもとに議論

・考え方の違う人達が知識を共有し、その違いを議論を通じて明らかにすると共に、新しい知識・思想を作り出してゆく場

・出版社、著者と読者をつなぐ場としての図書館

・図書館が司書による相談サービス、あるいは自動的な案内サービスをする場合でも、自分の電子書棚を作りたいという人の多くは図書館から借りるのではなく出版社のデータベースの方に行き、書物を購入することになるわけで、図書館は出版社と読者を結合する接続業者のようになってゆく

「未来の図書館を作るとは」(長尾真)より抜粋

  • レファレンスサービス

利用者からの問い合わせに対して、AIを利用して、必要とする内容に最もマッチングする資料名、所在場所へナビゲーションする。資料がオープンデータであれば、参考となる内容の記載部分を列挙し、さらに答えとしての事実まで提示が可能になる。

自然言語処理機能を利用することにより、音声での自然言語の問いに対して、「デジタル知識基盤」を知識としたAIが、解の候補を抽出し、それを音声での自然言語で回答することが可能になる。

  • 事実に基づいた報告書

依頼または予測調査に関しては、AIを利用した文献の意味的内容検索により、最もマッチングする資料名、資材場所を探し出し、その資料がオープンデータ化されていた場合は、記述された内容を洗い出し、内容を要約して報告書の原案を作成することも数年で実用可能と思われる。

6.5.       知識利活用基盤(情報発信)

恒久的保存基盤に格納された一次情報、コンテンツ創造基盤で創出された二次的情報が、デジタル知識基盤の中でAIの機能を活用して有機的にネットワーク化され、あらゆる分野で利活用できるようにする。

見るだけのアーカイブ」から「使い、創り、繋がり、伝えるアーカイブ」として、広く国民による新たな知識の創造、新産業の創出、地域活性化、防災・減災、教育活用、教養・娯楽、観光、国際文化交流等、様々な利用者毎の目的に応じて、恒久的保存基盤に格納された一次情報、コンテンツ創造基盤で創出された二次的情報を有機的に組み合わせて、利用できるようにする。

電子図書館になって取り出す単位が書籍の単位ではなく、書籍の中の章や節、パラグラフ、あるいはこんな内容が書かれている部分のみ

・自動的な形で適切な知識の所在にまでナビゲートしてゆくシステム

・その本のどこに書かれているかを探すというのではなく、自分の欲しい情報そのものが出てくることになる。

・書誌検索のような単純、単一の検索でなく、種々の検索のモードを提供する

・種々のあいまいさを許すあいまい検索の工夫

「未来の図書館を作るとは」(長尾真)より抜粋

知識検索機能として、網羅的な情報から、利用目的に応じてあらかじめ適切に絞り込み、利用者の属性、スキル、利用場所に応じて、様々な画面インターフェースを用意して、利用者が必要とする情報、参考となる関連する情報を容易に得られるようにする。

6.5.1.      自分の知識の外部記憶装置

・個人によって違った知識の構造の部分については、その人の力によって種々の検索方式を試み、自分の必要とする情報をとり出して中立的な知識の構造に付加してゆくことが出来ねばならないし、またそれによって自分に合った知識の構造を作りあげてゆく

・自分の書棚を電子的に作れば、自分の連想に基づいて自分の本や本の部分部分をリンク付けして自分の知識の構造に合った自分図書館を作って楽しむことができる

「未来の図書館を作るとは」(長尾真)より抜粋

 現在のAIの技術で、デジタル知識基盤にある共通的な知識から個人のスキル・嗜好に合わせてパーソナライズするとともに、個人が保有する知識を組み合わせて、自分専用のインテリジェンスは外部記憶装置を持つことが可能になる。

スマートフォン等からこの外部記憶装置にアクセスして、①可能な限り「事実情報」を提供する、出来ない場合は、②参考になりそうな文献候補を提示する、③その文献候補の所蔵先へ案内する。④デジタル化された情報があれば、閲覧サービスまでナビゲート、⑤デジタル化された情報がなければ、入手可能なサービスへナビゲートという仕組みは、もう実現可能な段階になっている。

7.「知の共有化」システムの構築業務と、人材の資質とスキル

AIと人間の能力と役割の一般論として、AIが実用段階に達した今、今まで人が担ってきた部分の作業も、精密化するとAIを活用したほうが効率的なことが多々ある。それはアーカイブ機関でも同様であり、マニュアル化、ルーチン化されている業務は、一気にAIに置き換わらなくても、専門職員から、外部委託、非常勤職員、等へシフトされていくものも多い。その中でアーカイブ機関の職員としての仕事を見極める必要がある。

アーカイブ機関において、システムの調達・構築・運用のスキル・知識を持った人材が不足しているのが現状であり、適正な調達を行うために、政府機関での調達の標準ガイドラインに沿って開発タスクとドキュメントをひな形に進めることが効果的である。また、開発タスクを遂行する職員のスキル・知識の習得は、iコンピテンシ・ディクショナリ等を活用することが効率的である。特に、デジタルアーカイブ構築は、ビッグデータ人工知能の活用が必須であり、データサイエンス領域のスキル標準を活用すること有効と考える。

7.1.       政府標準ガイドラインに沿ったシステム構築と運用

「政府情報システムの整備及び管理に関する標準ガイドライン」(政府標準ガイドライン)(*6)は、業務の効率化及び高度化、情報セキュリティを含む情報システムの運用リスクへの適切な対応等、具体的な取組を政府横断的に進めるため、情報システムの標準的な整備及び管理について、その手続・手順に関する基本的な方針及び事項並びに各組織の役割等を定める体系的な共通のルールとして策定し、政府機関全体でこのルールに沿って運用されている。

これは政府機関における調達の共通ルールであるが、知の共有化を進める公的機関でも適正な調達を行う際の手引きとして参考にし、調達手続き、調達仕様の内容を必要に応じて取捨選択して、システム構築。運用を進めることにより、重要事項の考慮漏れをなくすことができ、発注者と受注者の認識の齟齬を減らすことができる。

7.2.       政府標準ガイドラインに沿った開発タスクとドキュメント

この図は、政府標準ガイドラインに沿って、組織としての事業計画に基づいた、業務・サービスの企画段階から、運用・保守、その後のシステム監査まで様々な業務(タスク)があるが、その各工程でのドキュメントを抜き出したもの。工程ごとに様々な種類の仕様書類があるが、テンプレート的にデフォルトとなる記述内容が示されており、計画書・企画書をベースに、必要な手続き、仕様内容を加筆訂正していく形でドキュメント化していくことが可能である。

f:id:mskn:20210701135856p:plain

図5 政府標準ガイドラインに沿った開発託すとドキュメント

アーカイブ機関のデジタルアーカイブ構築においては、特に、要求要件を明確にして、個々の機能要件部分を精緻化していくことに注力する必要がある。

7.2.1.        システムで何ができるようにするのか(個別機能要件)

機能に関する事項では、①アーカイブ化機能として、メタデータ、画像データの登録・変更・公開機能、AIを活用したレファレンスに必要な情報の蓄積機能、②サービス提供機能として、利用者に効率的で快適な体験を提供するカスタマーエクスペリエンス(CX)デザイン思考(*8)でのサービスを実現するユーザインタフェース、内部処理機能、外部サービスとの連携などの要求要件を明確にする必要がある。

 特に、AIを活用できる外部サービスを利用することとして、音声の自然言語による入出力、知識として学習の効率を高めるための教師データの選択、教師データを最適に学習できる機械学習APIを持つAI処理モジュールの選択が重要である。それにより、従来からのレファレンスの回答として、参考になる資料の選択と、その資料の所在情報の提示だけでなく、答えそのものの検索(事実検索)が可能になる。現在もスマートフォン等で利用可能になっているGoogle Assistant、 Apple Siri、Microsoft Cortana、Amazon AlexaIBM Watson等の知識にデジタルアーカイブ機関が組織化して保有した情報が知識として蓄積されていれば、より的確の事実検索が可能になり、この外部サービスのAPIを利用することにより、アーカイブ機関でのAIを活用したサービスの構築が効率化する。

7.2.2.        どのようなデジタルコンテンツを用意するか(コンテンツ構築要件)

アーカイブ機関がデジタルコンテンツとして構築するコンテンツの要件も明確にして、①二次情報としての蓄積情報・データに関する事項である、永続的識別子、メタデータ、目次・索引データ、関連データ、②一次情報としてのコンテンツそのものである、動画、音声、画像データ、全文テキストデータ、更にIoT等からの収集データ等が他のアーカイブ機関のコンテンツと合わせて、ビッグデータとして利活用しやすいようにするために、より一層の共通的な仕様を適用することにより、AIでの活用を加速させられる。

 著作物の電子書籍化に関しては、原資料からのデジタル化(イメージ化、テキスト化)と、文献の作成段階からデジタル化され電子書籍と印刷書籍が同時並行で進むものがあるが、作成過程及び最終成果物の仕様を標準化することにより、シングルソース・マルチユースが容易になり、利用者の読書環境に応じて様々な形態で提供されることにより、著作物の利活用が促進される。

 現時点でのシングルソースとしてのマスター原稿段階では、章節項、目次、索引、引用等の構造を明示するXSLが適用されたXMLテキストとし、電子書籍化する場合は、様々な閲覧環境に最適な書式とできるように、html5+CSS3をベースとしたEPUB3.1の仕様を適用する。AIシステムの教師データ付き学習データとしては、マスター原稿段階のXMLテキストを利用することにより、構造化された知識として活用が容易になる。例えば、平成28年度情報通信白書(総務省編)は、マスター原稿から、ページレイアウト固定版(PDF版)、スマートフォン・PC・タブレット向けのリフロー版電子書籍EPUB版)、Webブラウザ版(html版)が用意されている。

7.3.       iコンピテンシ・ディクショナリ(iCD)

i コンピテンシディクショナリ(iCD)は、情報処理振興機構(IPA)が作成した、システム開発におけるタスクとスキル・知識を体系的に洗い出したものである。それぞれ、タスクの種類を列挙したものが、「タスクディクショナリ」、スキルの種類を列挙したものが、「スキルディクショナリ」、知識の種類を列挙したものが、「知識ディクショナリ」として辞書化したものである。個々のタスクに必要なスキル、スキルに必要な知識が紐付けられている。また、事業を実施するために様々な業務があり、その業務も複数のタスクにより遂行される。そのタスクの固まりが「タスクプロフィール」として例示的に示されている。

アーカイブ機関が人材育成について検討する際、事業の内容に合わせて、「タスクディクショナリ」からタスクを選択することにより、そのタスクを遂行するために必要なスキル、知識が提示される。タスクを担当する人材は、そのスキル・知識を絞り込んで習得するようにすることにより、短期間に効率的に人材育成ができる。

7.4.       業務遂行のタスクとスキル・知識の蓄積のスキーム

f:id:mskn:20210701135946p:plain

図6 業務遂行のタスクとスキル・知識の蓄積の関係

全てのスキルと知識を身に付いていれば、どんなタスクもこなせるが、そんな人材の確保は困難である。

1つのタスクを実施するためには、様々なスキルが必要であり、1つのスキルは、経験と様々な知識により身に付く。現在の職務に必要なスキル・知識を選択的に習得し、最終的に網羅性に確保する実践的なアプローチが、iコンピテンシ・ディクショナリの考え方である。

業務を遂行するためには、的確に判断し、指示できるレベルのスキル・知識が必要であり、業務に必要なスキル・知識を、事前に選択的に習得して、業務を遂行することが望ましいが、業務を遂行する前に持っていないスキル・知識は、タスクの遂行を通じて習得(OJT)することで、業務を円滑に進められるようになる。

7.5.       iコンピテンシ・ディクショナリ(iCD)を活用した業務の遂行とスキル・知識の選択的習得

f:id:mskn:20210701140013p:plain

図7 政府標準ガイドライン/iコンピテンシ・ディクショナリを活用した業務の遂行とスキル・知識の選択的習得

図7は、政府の標準ガイドラインで示された開発プロセスでの業務をタスクとして、それぞれのタスクの遂行に必要なスキル・知識の選択の概念を示したものである。

更に一定レベルの網羅的な知識の習得状況を評価する情報処理技術者試験との関係も示している。

iCDでは、網羅的なスキルの領域として、①ビジネス活動の様々な手法、方法のスキルとして「メソドロジ」、②IT関連技法などのスキルとして「テクノロジ」、③対象となる業務を進めるための関連知識や業務固有のスキルとして「関連業務知識」、④ IT に関するタスクを実行する際に必要となる実行力・実践力、創造力、コミュニケーション力等のスキルとして「ITヒューマンスキル」とに分類されている。

「④ITヒューマンスキル」は、AIが実用化され、社会の構造が大きく変革しそうな時代において、「価値の創造・問題解決」を着実に遂行する力としての「創造力」は特に重要なスキルである。

f:id:mskn:20210701140046p:plain

図8 データサイエンス領域のタスク構造

また、第4次産業革命に対応した新スキル標準(ITSS+)(*14)として、「セキュリティ領域」とともに、「データサイエンス領域」に関して、大量データを分析し、その分析結果を活用するための一連のタスクとそのために習得しておくべきスキルカテゴリ、タスク構造が網羅的示されている。業務部門のタスクとして、業務設計、データの作成と収集、構造化データ加工、解析用データ準備、データの準備、データ解析、データ可視化、非構造化データ処理、評価、業務への組み込みと評価の工程が定義されている。

これからのデジタルアーカイブの構築は、ビッグデータやAIを活用が必須であり、各アーカイブ機関の業務部門が中心となって「データサイエンス領域」のタスク工程に沿って確実に進め、業務への適用を評価していくことが重要であり、業務部門での人材育成、人材確保が課題となる。

8.まとめ

個々のアーカイブ機関でのデジタル化が進む状況において、文化的資産をあらゆる人々が将来にわたり享受、活用できるようにし、人々の創造的な活用に貢献するためには、個々の知識情報の「見える化」をするだけでなく、全体のそれぞれの施策が同一の方向性を持って、相互に資源を補完し合って、社会全体でより効率的な利活用の保証に取り組む必要があり、デジタル知識基盤は重要な役割を果たすことになる。文化情報資源を中核としたデジタル知識基盤を利活用したサービスの方向性を見極めて、個々のアーカイブ機関は、構成する一機関としてデジタルアーカイブの構築と提供を考えていくことが重要と考える。

今後5~10年のデジタル情報化、AIの実用化レベルの進展を見据えると、アーカイブ機関の業務は根幹から変革が求められると思われる。社会の変革の中でのアーカイブ機関は、従来の延長線上での業務を行っていては、有益なサービスを提供する機関としての存立が危ぶまれる。

AIは人の仕事が奪うよりも、人間がより人間らしい仕事にシフトしていくきっかけでもあり、仕事が奪われるとしたら、むしろ、AIを活用した省力化と新しいサービスに取り組まなかったために事業を継続できなくなる機関・組織であろう。知識創造のための情報の多くがインターネットから入手できる状況において、知識創造の支援の一翼を担う機関としての役割と必要な機能を再検討し、速やかに対応して、「知識インフラ」で目標とした「新たな知識の創造と還流により社会・経済的な価値の創出する仕組みが確立する」が加速され、「未来の図書館」が作られることを期待する。

9.参考文献

次世代技術を活用したビジネス展開のためのデジタルリテラシー

次世代技術を活用したビジネス展開のためのデジタルリテラシー

概要

  • 全てのビジネスパーソンがデジタル時代のコア・リテラシーを身につけていくことが求められます。
    • 内閣府が策定した「AI戦略2019」において、AI時代に対応した人材育成や、それを持続的に実現する仕組みの構築が戦略目標に挙げられているとおり、デジタル時代の人材育成は国全体の重要な課題となっています。
    • デジタルトランスフォーメーションの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」も含めた両輪の育成が必要となる
  • IT・データサイエンス・AIの三方面からデジタルリテラシーの向上を図る
    • ITの利活用を推進するIPA、データサイエンティストのスキル定義や人材育成を支援するDSS、ディープラーニング技術の産業活用を推進するJDLAが連携して、デジタルリテラシーの向上を図るために準備を進めている

中小企業における人材育成の戦略

  • 中小企業が、ビジネスを発展させるためには、攻めのIT投資とサイバーセキュリティ対策を講ずる必要がある
  • 「経営者、システム管理者が、「デジタルリテラシー」の知識とスキルを得て、①守りのIT・セキュリティ対策に留まらず、②事業を発展させるためのの攻めのIT・セキュリティ対策を講じるための人材の育成を推進するべきである
    • ※ITの知識を持たずにセキュリティ対策を講じることは困難。セキュリティ対策は、IT活用の推進の中でセキュリティバイデザインの考え方で対処する
    • ①守りのIT・セキュリティ対策
      • これまで組織のITシステムは、業務の改善や効率化によるコスト削減により、経営を安定化させることに重きが置かれ、サービスの維持が図られてきた。
      • 現状を維持するためだけでも新たなIT技術への対応と、新たな脅威への対処のためのセキュリティ対策が必要である。
    • ②攻めのIT・セキュリティ対策
      • しかしながら、サービスの維持だけでは、ビジネスの競争に勝ち残れない。
      • 時代のニーズに対応した高付加価値の新たな取り組みにより、サービスを向上させていかなければ、組織の発展はおろか、継続も見込めなくなることが予想される。
      • より先進的な技術を活用した新たなサービスを、他社に先駆けて提供していくことが望まれる。
      • そのためにも、組織人として、ITやデジタルを利活用できるデジタルリテラシーの習得が求められる。

「デジタルリテラシー」の習得

  • デジタルトランスフォーメーションの推進には、これまでの「デジタルを作る人材」だけでなく、「デジタルを使う人材」が必要だが、中小企業においては、まず、「デジタルを使う人材」の育成に力を入れるべきである
  • 「デジタルリテラシー・スキルフレームワーク」で網羅的・体系的に
    • 概念

    f:id:mskn:20210506095235p:plain

    「デジタルリテラシー・スキルフレームワーク」の概念
  • デジタルリテラシーの浸透に向けたツール
    • デジタル変革の推進による、より良い社会(Society5.0)の創出に向けて、ビジネスパーソンが身につけるべきデジタルリテラシー領域「Di-Lite」を示すために、デジタルに関連して習得すべきスキルや知識・マインドを構造的に全体像として表したもの。
  • デジタルリテラシー領域「Di-Lite」
    • デジタル技術の進展に合わせた網羅的なデジタルリテラシーとして、IT・データサイエンス・AIを使うための基礎的なスキル・知識・マインド
    • マインド
      • デジタルに取り組むスタンス、マインド
    • 知識体系
      • デジタル活用分野/適用事例
      • デジタル知識
    • スキル
      • 基礎
        • 使う、作る/なおす
      • 応用
        • より上手に使う/広める
        • 発想する/活用方針を示す
        • 新たに作る/教える
  • 対象者
    • 利用者
    • 企画者
    • 経営者/責任者
    • エンジニア

「デジタルリテラシー協議会」

  • 構成組織
  • 取り組み
    • 産業界において日本がグローバルで戦うための競争力の源泉となる人材の育成を目指し、官民連携の会議体を運営し協議・情報発信を行う。
    • 協議結果を各団体が実施する検定や試験のシラバスにも反映する
    • 「Di-Lite」の設定や浸透活用、及び「Di-Lite」をはじめとするデジタルリテラシー・スキル習得を助けるためのツール提供も行う。
  • 活動内容
    • 「Di-Lite」に関する協議(見直しと再定義)
      • (1)産業界やユーザーの声を反映した「Di-Lite」の更新
      • (2)デジタル技術の進化に合わせたデジタルリテラシー領域の網羅性確認
      • (3)各参加団体の実施する検定や資格制度の連携
    • デジタルリテラシーの浸透に向けたツール類の提供
      • (1)デジタルリテラシー・スキルフレームワークの提供
      • (2)デジタルスキルラーニングパスの提供
    • 企業に向けた普及・啓発活動の共同推進
      • (1)展示会、セミナー等における普及啓発の実施、充実化
      • (2)記事の掲載等、ビジネスパーソン向け情報発信の充実化

【ニュースクリップ】デラックス版の機能が無償化~日本語プログラム言語環境「なでしこ」Windows版が更新

「なでしこ」は、日本語で記述できるプログラム言語。ファイルやテキスト、画像、システム(プロセス・レジストリ)、ネットワークなど多彩なコマンドを組み合わせて業務を自動化(バッチファイルの開発)したり、本格的なGUIアプリを開発できる。「Microsoft Office」「OpenOffice.org」といったオフィスツールを連携させることも可能だ。