コンプライアンスフレームワーク https://chatgpt.com/share/69825c0f-5704-8007-ad89-c16b41ec8510
code:5.2 各フレームワーク概要(各2行)
ISO 27001 情報セキュリティマネジメントシステム(ISMS)の国際規格で、リスクに基づく管理策を要求。 認証制度があり、方針・体制・運用・継続的改善(PDCA)を文書と実装で示す。
CIS Controls 実務的な“やるべきセキュリティ対策”を優先順位付きで整理したコントロール集。 資産管理、脆弱性管理、ログ、アクセス制御などを段階的に導入する指針として使われる。
GDPR EU/EEAの個人データ保護法で、取得・利用・移転・保管に厳格な義務と本人の権利を定義。 適法根拠、目的制限、DPIA、侵害通知などが要点で、違反は高額制裁金の対象になり得る。
NIST CSF 米国NISTのサイバーセキュリティ管理フレームワークで、機能(Identify/Protect/Detect/Respond/Recover)で整理。 特定の規格に縛られず、現状と目標のギャップ分析・ロードマップ策定に使いやすい。
COBIT ITガバナンス/ITマネジメントの枠組みで、ビジネス目標とIT統制を結びつける。 プロセス、役割責任、指標、成熟度などで“統制が効いている状態”を設計・評価する。
SOC 2 監査人(CPA等)による保証報告で、Trust Services Criteria(Security等)への統制状況を示す。 Type I(時点)/ Type II(期間)で、SaaSなどが顧客向けに統制の有効性を説明する際に用いられる。
FedRAMP 米国政府向けクラウドの認可制度で、連邦要件に基づくセキュリティ評価・継続監視を要求。 NIST SP 800-53系の管理策を中心に、第三者評価(3PAO)や運用証跡が重くなりがち。
PCI DSS カード会員データを扱う事業者に求められるセキュリティ標準で、決済環境の保護が焦点。 ネットワーク分離、暗号化、脆弱性管理、ログ監視など具体要件が多く、準拠維持が負荷になりやすい。
NIS2 EUのサイバーセキュリティ指令(改正)で、対象業種拡大と経営責任・罰則強化が特徴。 リスク管理措置、サプライチェーン、インシデント報告などを求め、国内法化(加盟国実装)で運用される。
HIPAA 米国の医療情報(PHI)の保護に関する法令で、プライバシー/セキュリティ/侵害通知ルールが柱。 医療機関や事業者(BAA含む)に管理・技術・物理的対策と手順整備を求める。
以下の10個を、性格が近いものでカテゴリ分けして、各フレームワークを1行要約します。 ① 情報セキュリティ管理・統制(汎用) ISO 27001:ISMS(情報セキュリティ管理体制)をリスクベースで構築・運用し、継続的改善まで求める国際規格。 NIST CSF:Identify〜Recoverの機能で、現状評価と改善ロードマップ作りに使える汎用セキュリティ枠組み。 ② セキュリティ対策の実装チェックリスト(実務寄り) CIS Controls:優先度付きの具体的セキュリティ対策セットで、まず何から実装すべきかを示す。 ③ ITガバナンス(経営・統制寄り) COBIT:ビジネス目標に沿ってITを統制するためのガバナンス/管理プロセス体系。 ④ 監査・第三者保証(顧客説明・信頼獲得) SOC 2:Trust Services Criteriaに基づき、統制の設計と運用状況を監査報告で示す(特にSaaS向け)。 ⑤ 法規制(個人情報・医療) GDPR:EUの個人データ保護法で、本人権利・利用根拠・越境移転・侵害通知などを厳格に要求。 HIPAA:米国の医療情報(PHI)保護法で、医療データの取扱いルールと安全管理を義務化。 ⑥ 政府・重要インフラ向け(公的要件が重い) FedRAMP:米国政府向けクラウドの認可制度で、厳密な評価と継続監視により“使ってよいクラウド”を決める。 NIS2:EUの指令(改正)で、重要業種に強いサイバー対策とインシデント報告・経営責任を課す。 ⑦ 業界標準(決済) PCI DSS:カード会員データを守るための決済業界標準で、決済環境の技術要件と運用要件が細かい。