根拠フレーム&統計で読む★3/★4:何を基準に、何を測るか
Day1で全体像と初動を掴んだうえで、Day2は「なぜその要件なのか」を一次情報に紐づけて確認します。評価制度の要件は、NIST CSF 2.0、ISO/IEC 27001:2022、国内の既存ガイドとの整合を意識して設計されています。さらに、警察庁の統計やIPAの10大脅威で優先順位を定量化し、★3/★4の実装順序と測定KPIを経営の言葉に翻訳します。
評価制度の“設計思想”を分解する(フレーム対応表)
評価制度は、対象=サプライチェーン企業のIT基盤(オンプレ+クラウド)、段階=★3(基礎)/★4(包括・第三者評価)/★5(高度)、スキーム=★3自己評価・★4第三者評価+有効期間管理という骨格を持ちます。制度文書は、国内外の関連制度との整合を前提とし、特に★5ではISO/IEC 27001:2022や自工会ガイド等のベストプラクティスを参照して具体化を進めると示唆しています。
| 制度要素 | 該当フレーム | 経営に効く含意 |
|---|---|---|
| 対象範囲 | IT基盤(クラウド含む)、OTや提供製品は直接対象外(別制度で扱う) | ユースケース単位でクラウド/外部接続を可視化。責任分界と証跡要件を先に決める。 |
| ★3 | ネットワーク、IAM、脆弱性・パッチ、バックアップ/復旧 | 衛生要件の徹底でランサム被害の拡大を抑止。年次点検で劣化を防ぐ。 |
| ★4 | 監視・検知・対応、ログ完全性、重要取引先の把握(再委託を含む) | 第三者評価で説明責任を担保。再委託の波及と台帳確認が審査の要。 |
| ★5 | ISO/IEC 27001:2022、業界ガイド(例:自工会Lv3)整合で高度化 | マネジメントと実装の両輪。対象領域を選び、段階的に適用。 |
NIST CSF 2.0:GovernとC-SCRMが示す経営課題
NIST CSF 2.0は、従来の機能(Identify/Protect/Detect/Respond/Recover)にGovernを加え、経営としてのリスク・責任・方針・意思決定を明示化しました。特にGV.SC(Supply Chain)は、供給網のリスクマネジメントを自社の統治プロセスに組み込むことを要請します。これは評価制度の★4「重要取引先の対策把握」と親和性が高く、契約・調達・監査の一体運用を迫ります。
- 意思決定:どの領域を★4にし、どの領域は★3で十分かを、ビジネス影響と接続形態で判定。
- コミュニケーション:RFP・契約・台帳・監査を同一の要件語彙で接続(再利用で負荷削減)。
- 継続改善:年次の自己評価(★3/★4)を経営レビューに上げ、例外承認を記録。
ISO/IEC 27001:2022:マネジメントで支える★4/★5
ISO 27001は、リスクベースのマネジメントを中核に、方針→組織体制→運用→監視→改善のサイクルを規格として定義します。★4の第三者評価では、要件の「回る運用」と証跡の再現性が重視されるため、ISOで整えた内部監査や是正プロセスは大きな助けになります。★5は同規格の整合に配慮しつつ業界ガイドの実装で具体化される見込みのため、ISMSの“器”と★要件の“中身”をつなぐ設計が有効です。
国内統計:実被害の構造(ランサム/経路/規模)
令和6年のランサム被害報告は222件(上半期114・下半期108)。
対価要求型134件のうち82.8%がダブルエクストーション。
VPN機器55%、RDP31%(有効回答100件)。
組織向け10大脅威は「ランサム」「サプライチェーン攻撃」が継続上位。
数字が示すのは「境界と認証の脆弱化」と「委託先・再委託の波及」。だからこそ★3のネットワーク/IAM/脆弱性、★4の重要取引先把握・監視が、費用対効果の高い順になります。Day4のロードマップでは、これら統計をKRIとしてダッシュボード化し、年次点検のKPIと並べて運用します。
★3/★4優先度ベンチマーク(最短で効く順)
- 認証強化と特権分離(IAM):MFAの適用拡大、委託先アカウントの棚卸し、特権経路の閉塞。
- 外部接続の可視化と境界ハードニング:VPN・RDP・公開サービスの棚卸し、脆弱性SLA、ゼロトラスト移行計画。
- バックアップの隔離と復旧訓練:RTO/RPOの事業合意、演習と証跡保全。
- ログ完全性と監視運用:クラウド含む横断ログ、保存期間、相関分析、MSSPのSLO化。
- 重要取引先の把握:★取得状況の台帳確認→例外時の追加質問→スポット点検の二層運用。
測定設計(KPI/KRI)とダッシュボード素案
| 領域 | KPI(実行度) | KRI(リスク指標) | 備考 |
|---|---|---|---|
| IAM | MFA適用率、特権ID分離率、棚卸し完了率 | 外部ログイン失敗率、横断ID重複件数 | 委託先アカウントと分けて可視化 |
| 外部接続 | 公開サービス棚卸し完了、重大CVEの対応SLA遵守 | VPN/RDP露出数、未修正高リスクCVE件数 | 攻撃面の縮小を最優先 |
| バックアップ/復旧 | 隔離実装率、演習実施回数 | 想定RTO超過率、復旧失敗率 | 可用性KPIを事業と合意 |
| 監視・ログ | 収集対象カバレッジ、保存期間充足率 | 重大検知MTTD/MTTR、未解析ログ割合 | 台帳と連動して監査容易化 |
| 取引先把握 | 対象抽出精度、年次確認完了率 | ★未取得での高リスク接続件数 | 例外管理を明文化 |
費用対効果の考え方(簡易式と感度)
費用は評価費+実装費+維持費に分解し、効果は回避損失(停止時間×損失/時)+審査摩擦の削減(案件化率・リードタイム短縮)で評価します。IRR ≒ (回避損失 + 受注増分の限界利益) / 初期投資の感度を見ながら、★3は全社的に、★4は重要領域へ重点配賦します。統計が示す通り侵入経路の大半は接続と認証に集中するため、最初の1円は境界×IAM×脆弱性に投じるのが合理的です。
よくある疑問(制度連携/第三者評価/再委託)
Q1. ISMSがあれば十分?
十分ではありません。ISMSは「器」、★要件は「実装の中身」。重なる部分は証憑再利用で省力化しつつ、★4の第三者評価に向け運用の再現性を高めます。
Q2. いつから備えるべき?
制度は2026年度開始を目指すロードマップで検討が進みます。★3自己評価の体制づくりと重要領域の★4準備を、来期のRFP・契約更新に間に合うよう逆算してください。
Q3. 再委託はどこまで波及?
★4は「重要な機密情報等を扱う子会社・取引先」の対策把握を要求しており、再委託先にも一定の適用が期待されます。まずは対象判定の基準と把握方法(二層運用)を決め、台帳確認を起点にしましょう。
Day3へのブリッジ(ケースで学ぶ実務)
Day3では、調達・委託・クラウドでの★要求の入れ方(RFP条項、契約、監査、例外管理)を、実ケースと書式例で具体化します。Day2のフレームと統計は、すべてDay3の現場運用に接続されます。
ご相談
📩 経営課題に合わせた個別提案が必要な方は、 こちらからご相談ください。
 根拠フレーム&統計で読む★3/★4:何を){kind=link}