年次サイクルの全体像(12か月ロードマップ)
有効期間を踏まえ、“評価→是正→訓練→報告→更改準備”を毎年繰り返します。以下は標準の割り付け例です。
| 月 | 主な活動 | 成果物(証跡) |
|---|---|---|
| 1月 | 年度計画・KPI目標の確定/委託先分類(重要度)更新 | 年次計画書、KPI目標、委託先リストv1 |
| 2月 | 自己評価のドラフト作成(前年度の実績反映) | 自己評価シートv1、是正計画草案 |
| 3月 | 内部監査(プロセス・技術・ログ) | 監査計画・チェックリスト・指摘一覧 |
| 4月 | 是正対応(高優先)・取締役会報告 | 是正記録・経営報告資料 |
| 5月 | 委託先年次把握(重要パートナー)開始 | アンケート・証跡回収、リスク評価票 |
| 6月 | 訓練(月次ミニ×1、四半期テーブルトップ×1) | 訓練計画・実施記録・改善点 |
| 7月 | 自己評価の最終化・年次提出(★4は提出先に準ずる) | 自己評価最終版、提出ログ |
| 8月 | 委託先の是正フォロー・再評価 | 是正依頼・期日管理、再評価記録 |
| 9月 | 第三者評価(★4・更新年度)準備/ギャップ診断 | ギャップ報告、補填計画 |
| 10月 | 第三者評価の受審(★4・更新年度) | 是正要求対応、エビデンス提出 |
| 11月 | 年次総括・翌年度の改善テーマ抽出 | 総括レポート、次年度方針案 |
| 12月 | 予算化・契約条項改訂(必要に応じ) | 稟議、条項改訂案、合意書 |
ポイント:★3は年1回の自己評価、★4は有効期間3年のあいだも毎年自己評価を提出し、更新時に第三者評価を受ける前提で年次計画を組みます。
自己評価と第三者評価の準備(★3更新・★4更改)
自己評価(★3/★4共通:年次)
- 対象 Day4で整えた運用(IAM・パッチ・分離・監視)と委託統制の実施状況。
- 手順 各領域の責任者が自己点検→ISMS事務局が取りまとめ→役員レビュー→提出。
- 証跡 政策文書、手順書、ログ、ダッシュボード、変更申請、監査記録、訓練記録。
第三者評価(★4更新時)
- 範囲 年次の自己評価+運用証跡+委託管理+重要案件の実績。
- 準備 エビデンス目録(Evidence Index)を先に作成し、提出パスを一本化。
- ギャップ 3か月前に模擬審査(リハーサル)を実施し、事実差異・用語不整合を解消。
コツ:提出物は「Policy→Procedure→Evidence」の三点セットで束ねると、審査で迷いません。
内部監査・外部審査・是正の運用
内部監査(プロセス×技術×記録)
- プロセス:権限付与・変更管理・再委託手順・ログレビューの遵守状況。
- 技術:MFA適用率、パッチSLA、分離・ルールの有効性、相関ルールの精度。
- 記録:証跡の完全性・改ざん耐性・保存年限の順守。
是正(Corrective Action)
- 指摘→原因分析(5 Whys)→是正案→期日→再発防止のテンプレで一元管理。
- 重要事案は役員承認(期限延長は“期限つき例外”で管理)。
外部審査との接続
- 第三者評価/顧客監査/規制監督の要求を一つの要求台帳に集約。
- 重複項目はクロスリファレンス(例:ISMS A.9=本制度のIAM要件×)。
委託先管理:年次把握・再委託・契約条項
★4では、重要パートナーの対策状況を年1回以上把握する運用が求められます。多層の再委託がある場合でも、責任分界と証跡の連鎖が追えることが大切です。
年次把握の流れ
- 重要度分類(Tier 1/2/3)を更新。
- Tier 1へ自己評価または第三者評価の提供依頼。
- 不足点の是正計画・期日を合意。
- 期日管理とフォローアップ、必要に応じ再評価。
契約に入れる4要素
- 適用範囲(IT基盤・接続境界/ログ提供範囲)。
- 年次自己評価・更新時第三者評価の提供義務。
- 重大インシデントの通報SLA・調査協力。
- 監査権・是正期限・再委託の条件。
まず自社の★3運用を標準化し、それを委託先の最小要件として展開すると摩擦が少なく進みます。
インシデント対応:訓練・通報SLA・広報連携
訓練の型(四半期)
- Q1:フィッシング横展開想定(ID/IAM・分離・ログ)。
- Q2:境界機器ゼロデイ(パッチSLA・仮想パッチ・露出縮小)。
- Q3:委託先アカウント侵害(契約SLA・通報・ログ共有)。
- Q4:ランサム暗号化兆候(相関ルール・封じ込め・復旧手順)。
通報SLAと広報
- 重大度・通報先・時間基準(例:重大は2時間以内初報)。
- 法務・広報・CSと連携し、外部説明の文言・一次Q&Aを事前承認。
KPIダッシュボードと経営レポート(取締役会向け)
経営の関心は「どこが危ない/どれだけ下がった」です。Day3のE×L×Iに基づき、以下を毎月報告します。
| KPI | 説明 | 経営説明の切り口 |
|---|---|---|
| MFAカバレッジ | 人・特権・APIの適用率 | 入口成功率の低下=回避損失の試算に直結 |
| 重大CVE未対応数 | 境界・公開面の露出 | ゼロ維持のためのSLA/例外運用の是非 |
| 共有ID件数 | 横展開・痕跡消しの温床 | ゼロ継続とPAM/JITの定着 |
| 主要ログカバレッジ | 検知の土台 | 不足ログの解消ロードマップ |
| MTTD/MTTR | 検知・復旧の速度 | 訓練・自動化の効果、外部委託の要否 |
ワンページ化:リスク上位3件のE×L×Iと先月比、回避損失の概算、今月の重点3件を1ページで提示します。
文書化・記録・保存年限(Policy→Procedure→Evidence)
審査・監査・委託先説明のすべては、文書と証跡で成立します。以下の“三段ロケット”で整流化しましょう。
- Policy(方針):IAM、パッチ、分離、監視、委託、IR、ログ保存など。
- Procedure(手順):権限付与・撤回、更新SLA、変更管理、アラートレビュー、通報SLA。
- Evidence(証跡):ログ、台帳、差分、議事、訓練記録、是正票、提出記録。
| 区分 | 例 | 保存年限(目安) |
|---|---|---|
| ログ | ID/ネット/端末/クラウド管理面/主要SaaS | 12〜24か月(契約・規制に準拠) |
| 監査・訓練 | 監査計画・指摘・是正、訓練計画・結果 | 3年 |
| 契約・委託 | 条項、年次把握、是正、再評価 | 契約期間+5年(目安) |
提出パスは一箇所に集約し、アクセス権と版管理を厳格にします(提出済・未提出の見える化)。
成熟度の引き上げ:★3安定運用→★4拡張の設計
Step 1:★3の“回る運用”を無停止で維持
MFA100%、重大CVEゼロ、共有IDゼロ、主要ログ95%、MTTD≦24hを月次で死守します。
Step 2:重要取引から★4要求を差し込み
第三者評価を見据え、証跡の完全性・委託先年次把握・操作録画・WORM保存などを拡張。
Step 3:全社標準化と自動化
アカウントライフサイクル、パッチSLA、相関ルール、例外期限などを自動化し、属人性を排除。
つまずきがちなポイントと対策
- “人が替わると止まる”運用 → 手順をテンプレ化し、責任・期日・代替を明記。自動化できる部分は早めに投資。
- 証跡が点在 → Evidence Indexで一元化し、提出パスを固定。
- 委託先まかせ → 年次把握・是正・監査権を契約で担保。再委託も条項で縛る。
- 訓練が形骸化 → 四半期ごとにシナリオを替え、是正を翌月のKPIに反映。
テンプレート集(年次計画・自己評価・委託台帳)
① 年次計画(A4・1枚)
【目標】MFA=100%、重大CVE=0、共有ID=0、主要ログ≧95%、MTTD≦24h
【四半期テーマ】Q1 委託先年次把握 / Q2 パッチSLA強化 / Q3 相関ルール磨き込み / Q4 監査・更改準備
【主要イベント】内部監査(3月)・自己評価(7月)・第三者評価(10月)
【リソース】人員・予算・ツール(更新・保守)② 自己評価チェックリスト(抜粋)
| 領域 | 設問 | 証跡 | 判定 |
|---|---|---|---|
| IAM | MFA100%/共有IDゼロ/退職連動の自動剥奪 | ポリシー・棚卸・PAMログ | 適合/要是正 |
| パッチ | 重大CVEゼロ/SLA遵守/例外期限 | 台帳・例外票 | 適合/要是正 |
| 分離 | 顧客・機密区画の分離/許可リスト | 設計書・差分 | 適合/要是正 |
| 監視 | 主要ログ95%/相関10本/月次レビュー | 一覧・ルール・議事 | 適合/要是正 |
| 委託 | 年次把握/是正フォロー/再委託の把握 | 台帳・往復書簡 | 適合/要是正 |
③ 委託先台帳(最小カラム)
委託先名 / Tier / 接続の有無 / 権限強度 / 自己評価or第三者評価 / 重大SLA / 再委託有無 / 次回確認日 / 担当まとめ
- 有効期間を回す:★3は年1回の自己評価、★4は有効期間3年の間も毎年自己評価+更新時の第三者評価。年次サイクルに固定します。
- 証跡の整流化:Policy→Procedure→Evidenceで束ね、Evidence Indexで提出パスを一本化。
- 委託統制:重要パートナーの年次把握・是正・再評価を契約で担保。再委託も可視化。
- KPI運転:MFA、重大CVE、共有ID、ログ、MTTDを毎月“ワンページ”で経営共有。
- 成熟度向上:★3の回る運用を土台に、重要契約から★4要件を差し込み、全社標準化と自動化で持続可能に。
FAQ(3問)
- Q1. 年次サイクルを回す人員が足りません。どこから委託すべきですか?
- A. まず監視・ログ運用の業務委託(SOC相当)を検討し、内部は方針・手順・是正に専念します。証跡の整理(Evidence Index)は内製が望ましいです。
- Q2. ★4の第三者評価の準備はいつから始めれば良いですか?
- A. 更新年の3か月前に模擬審査を実施し、提出物の目録化と事実関係の整合を完了させます。委託先の証跡回収はさらに前倒しが安全です。
- Q3. KPIが改善しないときの処方箋は?
- A. 「阻害要因→是正→期日」を週次で潰し、四半期ごとに訓練シナリオと相関ルールを見直します。例外は期限付きにし、役員承認を必須化してください。
