ステータス: 初版ドラフト(2026-04-22)
位置づけ: 読取専用リファレンス。案件起票は TODO_future.md / dev_mas-234_security_roadmap.md に集約する。
0. 前文
0.1 目的
本台帳は bizlp-gas-accounting(GAS ベース会計 ERP・一人会社)のセキュリティ統制状況を、国際標準フレームワークへ横断的にマッピングするための SSoT(Single Source of Truth)である。CIS Controls v8.1(2024-06 改訂)を骨格として採用し、同じ統制項目に対する NIST CSF 2.0(2024-02 公開)/ISO/IEC 27001:2022 Annex A/FISC 金融機関等コンピュータシステムの安全対策基準 第 11 版の対応関係を 1 枚に集約する。経営判断・監査対応・顧客問い合わせ(セキュリティ質問票)・商用 SaaS 化(MAS-251 認証取得フェーズ)において、同一統制を各基準の語彙で即座に引ける状態を目指す。
0.2 対象範囲
対象スコープは以下 3 レイヤー。
- GAS 層: Apps Script プロジェクト(dev / prod)、スプレッドシート(財務データ)、
98_audit_log 等の運用シート。
- Google Workspace 層: Gmail / Drive / Calendar / Admin Console / Endpoint Management。
- GCP 層: Vertex AI(Gemini / Claude)、Document AI、Cloud Audit Logs、IAM、Organization(
bizlp.co.jp 配下)。
0.3 除外される基準
| 基準 | 除外理由 |
|---|
| PCI DSS | カード番号(PAN)を保存・処理・伝送しない(CC 明細は 501_cc_importer で取引明細のみ) |
| HIPAA | 医療 PHI を一切扱わない |
| GDPR | EU 居住者の個人データを扱わない(顧客・取引先は国内法人のみ) |
将来の商用 SaaS 化で EU 顧客を受け入れる場合は MAS-251 フェーズで再評価する。
0.4 日本固有の法令・認証
| 領域 | 対応案件 |
|---|
| 電子帳簿保存法(検索要件・真実性確保) | MAS-152(証憑ファイル名の電帳法準拠リネーム、仕様書完了) |
| プライバシーマーク / JIS Q 15001:2023 | MAS-254(P マーク取得、Phase 5) |
| 法人税法・会社法(監査証跡) | MAS-179(実装済)/MAS-213(監査ログ編集禁止保護、仕様書完了) |
0.5 運用ルール
- 本台帳は読取専用リファレンスである。
- 案件の起票・進捗管理は
docs/_internal/TODO_future.md と docs/dev/dev_mas-234_security_roadmap.md に集約する。
- 現状欄(✅ / 🟡 / ❌ / ⚪)の変更は、関連案件のクローズ時に PR で更新する。
- FISC 本文は有料 PDF のため、本文引用は禁止。条項番号(統 / 運 / 設)と既知の概要レベルのみ記載する。
1. フレームワーク凡例
1.1 現状欄
| 記号 | 意味 |
|---|
| ✅ | 実装済・運用中(コードに反映 or 設定済) |
| 🟡 | 一部実装・仕様書完了だが未デプロイ |
| ❌ | 未着手 |
| ⚪ | 対象外(N/A、GAS/Workspace で意味をなさない等) |
1.2 フレームワーク略記
- CIS: Center for Internet Security Controls v8.1(18 Controls / 153 Safeguards)
- NIST CSF 2.0: GV(Govern)/ ID(Identify)/ PR(Protect)/ DE(Detect)/ RS(Respond)/ RC(Recover)
- ISO 27001:2022 Annex A: A.5(組織的)/ A.6(人的)/ A.7(物理的)/ A.8(技術的)— 全 93 統制
- FISC: 統(統制基準)/ 運(運用基準)/ 設(設備基準)第 11 版(2024)
2. 本体マッピング表
2.1 CIS Control 01 — Inventory and Control of Enterprise Assets
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 1.1 | 全企業資産の詳細目録維持 | 1 | 🟡 | MAS-214, MAS-215 | ID.AM-01 | A.5.9 | 統 22 | 00_menu(MAS-214)で GAS 操作の可視化。GCP 資産は bizlp-gas-accounting-dev/prod の 2 プロジェクトで分離済(MAS-215)。PC 資産の台帳は MAS-222 で整備予定 |
| 1.2 | 無許可資産への対応 | 1 | ❌ | MAS-234 (new) | ID.AM-01, RS.MI-01 | A.5.9 | 統 22 | Workspace 管理コンソールで無許可端末検出フローは未整備 |
| 1.3 | 動的資産発見ツールの利用 | 2 | ⚪ | — | ID.AM-01 | A.5.9 | 統 22 | 一人会社段階ではスキャナ導入不要 |
| 1.4 | DHCP ログによる資産目録更新 | 2 | ⚪ | — | ID.AM-01 | A.5.9 | 統 22 | 物理 NW を運用していない |
| 1.5 | パッシブ資産発見の利用 | 3 | ⚪ | — | ID.AM-01 | A.5.9 | 統 22 | 同上 |
2.2 CIS Control 02 — Inventory and Control of Software Assets
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 2.1 | ソフトウェア目録の維持 | 1 | 🟡 | MAS-222, MAS-214 | ID.AM-02 | A.5.9, A.8.8 | 統 23 | GAS 側は 00_menu で可視化。開発端末の SW 台帳は MAS-222 で整備予定 |
| 2.2 | 許可ソフトウェアの妥当性確認 | 1 | ❌ | MAS-222 | ID.AM-02, PR.PS-02 | A.8.19 | 統 23 | Workspace Endpoint Management で許可アプリリスト未設定 |
| 2.3 | 無許可ソフトウェアへの対応 | 1 | ❌ | MAS-222 | RS.MI-01 | A.8.19 | 統 23 | 同上 |
| 2.4 | 自動ソフトウェア目録ツール | 2 | ⚪ | — | ID.AM-02 | A.5.9 | 統 23 | 一人会社段階では過剰投資 |
| 2.5 | 許可リスト方式 | 2 | ❌ | MAS-222 | PR.PS-02 | A.8.19 | 統 23 | macOS Gatekeeper は既定で有効だが、社内ポリシーとして明文化未 |
| 2.6 | 許可ライブラリのみ | 3 | ⚪ | — | PR.PS-02 | A.8.19 | — | |
| 2.7 | 許可スクリプトのみ | 3 | ⚪ | — | PR.PS-02 | A.8.19 | — | |
2.3 CIS Control 03 — Data Protection
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 3.1 | データ管理プロセスの確立 | 1 | 🟡 | MAS-206, MAS-254 | GV.PO-01, ID.AM-07 | A.5.12, A.5.14 | 統 34, 運 8 | Drive 外部共有ポリシー(MAS-206)実施済。P マーク相当の体系化は MAS-254 で着手 |
| 3.2 | データ目録の維持 | 1 | 🟡 | MAS-214, MAS-254 | ID.AM-07 | A.5.12 | 統 34 | GAS タブ一覧は MAS-214 で自動生成。分類ラベル(機密/社外秘/公開)は未付与 |
| 3.3 | アクセス制御リストの設定 | 1 | ✅ | MAS-205, MAS-206, MAS-229 | PR.AC-04, PR.MAS-246 | A.5.15, A.8.3 | 統 37 | Workspace 2FA 強制(MAS-205)、Drive 外部共有制限(MAS-206)、dev/prod 権限分離(MAS-229) |
| 3.4 | データの確実な維持 | 1 | ✅ | MAS-201 | PR.MAS-246, PR.IR-03 | A.8.10, A.8.13 | 統 41, 運 20 | 日次バックアップ(809_backup_tool)実装済 |
| 3.5 | データの安全な廃棄 | 1 | ❌ | MAS-234 (new), MAS-229 | PR.MAS-246 | A.8.10 | 統 42 | 離脱時のデータ消去手順は MAS-229 でチェックリスト化予定 |
| 3.6 | エンドユーザーデバイスのデータ暗号化 | 1 | 🟡 | MAS-222 | PR.MAS-246 | A.8.24 | 統 43 | FileVault 有効化ポリシー(MAS-222)仕様書完了、全端末への適用確認は未 |
| 3.7 | データ分類スキームの確立 | 2 | ❌ | MAS-254 | GV.PO-01, ID.AM-07 | A.5.12 | 統 34 | 4 段階(公開/社内/社外秘/機密)の分類基準は P マーク取得時に整備 |
| 3.8 | データフローの文書化 | 2 | 🟡 | docs/arch/arch_data_model.md | ID.AM-07 | A.5.14 | 統 35 | 会計データフローは文書化済。第三者送信(Vertex AI)の DPA は MAS-216 で整理 |
| 3.9 | 移動メディア上のデータ暗号化 | 2 | ⚪ | — | PR.MAS-246 | A.8.24, A.7.10 | 統 43 | USB/可搬媒体を業務で使用しない |
| 3.10 | 転送中の機密データ暗号化 | 2 | ✅ | — | PR.MAS-247 | A.8.24 | 統 43 | Google API / GAS 通信は TLS 強制(Google 管理) |
| 3.11 | 保存中の機密データ暗号化 | 2 | ✅ | — | PR.MAS-246 | A.8.24 | 統 43 | Google Drive / BigQuery のサーバーサイド暗号化(Google 管理)。CMEK 導入は MAS-209 で検討 |
| 3.12 | ネットワーク上のデータ分離 | 2 | ⚪ | — | PR.AC-04 | A.8.22 | 統 36 | VPC 境界は GCP 移行時(MAS-208)に検討 |
| 3.13 | データ損失防止(DLP) | 3 | ❌ | MAS-234 (new) | PR.MAS-246, DE.CM-03 | A.8.12 | 統 43 | Google Workspace DLP ルール未設定。大量ダウンロード検知は MAS-210 で GCP 側実装 |
| 3.14 | 機密データアクセスのログ取得 | 3 | ✅ | MAS-179, MAS-213 | DE.CM-01, PR.PS-04 | A.8.15 | 運 14 | 98_audit_log + Utils.auditLog(MAS-179)実装済、編集禁止保護は MAS-213 で仕様書完了 |
2.4 CIS Control 04 — Secure Configuration of Enterprise Assets and Software
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 4.1 | セキュア構成プロセスの確立 | 1 | 🟡 | MAS-222, MAS-215 | PR.PS-01 | A.8.9 | 統 14 | 開発端末ポリシー(MAS-222)仕様書完了、GCP プロジェクト分離(MAS-215)完了 |
| 4.2 | ネットワーク機器のセキュア構成 | 1 | ⚪ | — | PR.PS-01 | A.8.9, A.8.20 | 統 14 | 物理 NW 機器を運用していない |
| 4.3 | 自動セッションロック | 1 | 🟡 | MAS-222 | PR.AA-05 | A.8.1 | 統 14 | 画面ロック 5 分ポリシー(MAS-222)仕様書完了 |
| 4.4 | ホストベースのファイアウォール | 1 | ⚪ | — | PR.PS-01 | A.8.20 | 統 14 | macOS FW は既定で有効。追加管理は未 |
| 4.5 | リモートデバイス管理ツール | 1 | ❌ | MAS-222 | PR.AA-01 | A.8.1 | 統 14 | Workspace Endpoint Management の MDM 機能未有効化 |
| 4.6 | ネットワークインフラのセキュア管理 | 1 | ⚪ | — | PR.PS-01 | A.8.20 | 統 14 | 同上(NW 機器なし) |
| 4.7 | 既定アカウントの管理 | 1 | ✅ | MAS-205 | PR.AA-01 | A.5.16 | 統 15 | Workspace 個別アカウント運用、共有アカウントなし |
| 4.8 | 不要サービスの無効化 | 1 | ✅ | — | PR.PS-01 | A.8.9 | 統 14 | GAS の oauthScopes は自動検出に任せる(failure_patterns #26 教訓) |
| 4.9 | モバイル機器の信頼された DNS 設定 | 1 | ⚪ | — | PR.PS-01 | A.8.20 | 統 14 | スマホからの業務アクセスは Workspace 経由のみ |
| 4.10 | モバイル機器の自動ワイプ | 1 | ❌ | MAS-222 | PR.PS-01, RS.MI-01 | A.7.9 | 統 14 | Workspace Endpoint Management で要設定 |
| 4.11 | モバイル機器のリモートワイプ | 2 | ❌ | MAS-222 | PR.PS-01 | A.7.9 | 統 14 | 同上 |
| 4.12 | 業務データ領域の分離 | 3 | ⚪ | — | PR.MAS-246 | A.8.1 | 統 43 | BYOD 運用していない |
2.5 CIS Control 05 — Account Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 5.1 | アカウント目録の確立 | 1 | 🟡 | MAS-229 | PR.AA-01 | A.5.16, A.5.18 | 統 15 | Workspace 管理コンソールで確認可能、台帳文書化は MAS-229 で実施予定 |
| 5.2 | 強力なパスワードの利用 | 1 | ✅ | MAS-205 | PR.AA-01 | A.5.17 | 統 16 | Workspace パスワードポリシー + 2FA 強制(MAS-205 完了) |
| 5.3 | 休眠アカウントの無効化 | 1 | ❌ | MAS-229 | PR.AA-01 | A.5.16 | 統 15 | 現状 1 人体制のため該当アカウントなし、離脱時チェックリストで対応予定 |
| 5.4 | 管理者特権アカウントの限定利用 | 1 | ✅ | MAS-205, MAS-229 | PR.AA-05 | A.8.2 | 統 17 | 特権分離(MAS-205)完了、Jr 参加時の権限設計は MAS-229 |
| 5.5 | サービスアカウントの目録維持 | 2 | 🟡 | MAS-216, MAS-215 | PR.AA-01 | A.5.16 | 統 15 | Vertex AI Service Account 認証は MAS-216 で仕様書完了 |
| 5.6 | アカウント管理プロセスの集中化 | 2 | ✅ | — | PR.AA-01 | A.5.16 | 統 15 | Google Workspace 管理コンソールに一元化 |
2.6 CIS Control 06 — Access Control Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 6.1 | アクセス付与プロセスの確立 | 1 | 🟡 | MAS-229 | PR.AA-01, PR.AA-05 | A.5.15, A.5.18 | 統 17 | Jr 特権分離(MAS-229)で業務委託・インターン向けの付与フロー整備予定 |
| 6.2 | アクセス剥奪プロセスの確立 | 1 | 🟡 | MAS-229, MAS-228 | PR.AA-01, RS.MI-01 | A.5.15, A.5.18 | 統 17 | 離脱時チェックリスト(MAS-228/MAS-229)で整備予定 |
| 6.3 | 外部向けアプリの MFA | 1 | ✅ | MAS-205 | PR.AA-03 | A.8.5 | 統 16 | Workspace 2FA 強制完了(2026-04-21) |
| 6.4 | リモートアクセスの MFA | 1 | ✅ | MAS-205 | PR.AA-03 | A.8.5 | 統 16 | 同上 |
| 6.5 | 管理アクセスの MFA | 1 | ✅ | MAS-205 | PR.AA-03 | A.8.5 | 統 16 | 同上 |
| 6.6 | アクセス制御リストの維持 | 2 | 🟡 | MAS-229 | PR.AC-04 | A.5.15 | 統 17 | dev/prod + Workspace + GCP + GitHub の 4 レイヤー分離は MAS-229 で整理 |
| 6.7 | シングルサインオンの集中化 | 2 | ✅ | — | PR.AA-01 | A.5.17, A.8.5 | 統 16 | Google Workspace SSO。GitHub は 2FA 別途 |
| 6.8 | ロールベースアクセス制御 | 3 | 🟡 | MAS-229, MAS-207 | PR.AA-05 | A.5.15 | 統 17 | GCP IAM ロール粒度(MAS-207)は Phase 4 で設計 |
2.7 CIS Control 07 — Continuous Vulnerability Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 7.1 | 脆弱性管理プロセスの確立 | 1 | ❌ | MAS-234 (new) | ID.RA-01, PR.PS-02 | A.8.8 | 統 19 | SaaS 依存(Google Workspace / GCP / GitHub)で自社適用対象が限定的。依存パッケージ管理は MAS-224 CI で強化予定 |
| 7.2 | 修復プロセスの確立 | 1 | ❌ | MAS-234 (new) | ID.RA-01, RS.MI-01 | A.8.8 | 統 19 | Dependabot / npm audit の運用ルール未確立 |
| 7.3 | 企業資産の自動 OS パッチ管理 | 1 | 🟡 | MAS-222 | PR.PS-02 | A.8.8 | 統 19 | macOS 自動アップデート有効化(MAS-222 ポリシー) |
| 7.4 | アプリケーションの自動パッチ管理 | 1 | 🟡 | MAS-222 | PR.PS-02 | A.8.8 | 統 19 | 同上 |
| 7.5 | 企業資産の自動脆弱性スキャン | 2 | ⚪ | — | ID.RA-01 | A.8.8 | 統 19 | スキャナ導入は一人会社段階では過剰 |
| 7.6 | 外部向けサービスの自動脆弱性スキャン | 2 | ⚪ | — | ID.RA-01 | A.8.8 | 統 19 | 公開サービス未運用(Phase 5 の Web App 公開時に再評価) |
| 7.7 | 検出された脆弱性の修復 | 2 | ❌ | MAS-234 (new) | RS.MI-01 | A.8.8 | 統 19 | GitHub Security Advisory への対応ルール未策定 |
2.8 CIS Control 08 — Audit Log Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 8.1 | 監査ログ管理プロセスの確立 | 1 | ✅ | MAS-179, MAS-213 | DE.CM-01 | A.8.15 | 運 14 | Utils.auditLog + 98_audit_log 実装済 |
| 8.2 | 監査ログの収集 | 1 | ✅ | MAS-179 | DE.CM-01 | A.8.15 | 運 14 | GAS イベント(操作 / RPA / マイグレーション)ログ取得 |
| 8.3 | 監査ログ保存用の十分なストレージ確保 | 1 | ✅ | MAS-201, MAS-212 | PR.IR-03 | A.8.15 | 運 14 | 日次バックアップ(MAS-201)+ アーカイブ方針(MAS-212 で検討) |
| 8.4 | 監査ログの標準化 | 2 | ✅ | MAS-179 | DE.CM-01 | A.8.15 | 運 14 | timestamp / user / action / entity_type / entity_id / diff の固定スキーマ |
| 8.5 | 詳細監査ログの収集 | 2 | 🟡 | MAS-179, MAS-210 | DE.CM-01 | A.8.15 | 運 14 | GAS 側の diff 記録は実装済、GCP Cloud Audit Logs は MAS-210 で集約 |
| 8.6 | DNS クエリ監査ログの収集 | 2 | ⚪ | — | DE.CM-01 | A.8.16 | 運 14 | 自前 DNS 非運用 |
| 8.7 | URL リクエスト監査ログの収集 | 2 | ⚪ | — | DE.CM-01 | A.8.16 | 運 14 | Workspace Drive 監査ログで代替(MAS-206 で外部共有イベント検知) |
| 8.8 | コマンドラインログの収集 | 2 | ❌ | MAS-234 (new) | DE.CM-01 | A.8.15 | 運 14 | 開発端末のシェル履歴収集は未整備 |
| 8.9 | 監査ログの集中管理 | 2 | 🟡 | MAS-210 | DE.CM-01 | A.8.15 | 運 14 | GCP 移行時に Cloud Logging へ集約(MAS-210) |
| 8.10 | 監査ログの保持 | 2 | 🟡 | MAS-212 | PR.IR-03 | A.8.15 | 運 14 | データアーカイブ(MAS-212)で保持期間を定義予定 |
| 8.11 | 監査ログのレビュー実施 | 2 | 🟡 | MAS-210 | DE.AE-02 | A.8.16 | 運 14 | 月次レビュー運用の定例化は MAS-210 と連動 |
| 8.12 | タイムソースとの同期 | 2 | ✅ | — | DE.CM-01 | A.8.17 | 運 14 | Google サーバー時刻に準拠(GAS 実行環境) |
2.9 CIS Control 09 — Email and Web Browser Protections
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 9.1 | 完全サポートされたブラウザ / メールクライアントのみ利用 | 1 | ✅ | MAS-222 | PR.PS-02 | A.8.7 | 統 44 | Chrome / Gmail を標準。旧ブラウザ利用なし |
| 9.2 | DNS フィルタサービスの利用 | 1 | ❌ | MAS-234 (new) | PR.AC-04 | A.8.20 | 統 44 | 未導入(Cloudflare for Teams 等の検討は Phase 2) |
| 9.3 | ネットワークベースの URL フィルタ適用 | 2 | ⚪ | — | PR.AC-04 | A.8.23 | 統 44 | 物理 NW なし |
| 9.4 | ブラウザ / メールクライアントの拡張機能制限 | 2 | ❌ | MAS-222 | PR.PS-02 | A.8.7 | 統 44 | Workspace Chrome Enterprise ポリシーで制限設定可、未適用 |
| 9.5 | DMARC 実装 | 2 | ❌ | MAS-234 (new) | PR.MAS-247 | A.8.23 | 統 45 | bizlp.co.jp のメール認証(SPF/DKIM/DMARC)の現状確認が必要 |
| 9.6 | 不要なファイルタイプのブロック | 2 | ❌ | — | PR.PS-02 | A.8.23 | 統 44 | Gmail 既定の添付制限に依存 |
| 9.7 | サーバーサイドアンチマルウェアの展開 | 2 | ✅ | — | PR.PS-05, DE.CM-09 | A.8.7 | 統 44 | Gmail / Drive のマルウェアスキャン(Google 管理) |
2.10 CIS Control 10 — Malware Defenses
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 10.1 | アンチマルウェアソフトの展開 | 1 | ✅ | MAS-222 | PR.PS-05, DE.CM-09 | A.8.7 | 統 44 | macOS XProtect(既定)で対応、EDR 追加は MAS-222 で検討 |
| 10.2 | 自動アンチマルウェア署名更新 | 1 | ✅ | — | PR.PS-05 | A.8.7 | 統 44 | XProtect は OS アップデートに同梱 |
| 10.3 | 取外し可能メディアの自動実行無効化 | 1 | ⚪ | — | PR.PS-05 | A.8.7 | 統 44 | 可搬媒体不使用 |
| 10.4 | アンチマルウェアのふるまい検知 | 2 | 🟡 | MAS-222 | PR.PS-05, DE.CM-09 | A.8.7 | 統 44 | XProtect で部分対応、EDR(CrowdStrike 等)は未 |
| 10.5 | 取外し可能メディアのアンチマルウェアスキャン | 2 | ⚪ | — | PR.PS-05 | A.8.7 | 統 44 | 同上 |
| 10.6 | 集中的なアンチマルウェア管理 | 2 | ❌ | MAS-222 | PR.PS-05 | A.8.7 | 統 44 | 1 台運用中は過剰、採用拡大時に再評価 |
| 10.7 | エクスプロイト防御の利用 | 3 | ⚪ | — | PR.PS-05 | A.8.7 | 統 44 | — |
2.11 CIS Control 11 — Data Recovery
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 11.1 | データ復旧プロセスの確立 | 1 | ✅ | MAS-201 | RC.RP-01, PR.IR-04 | A.8.13, A.5.30 | 統 41, 運 20 | 809_backup_tool 実装済(MAS-201) |
| 11.2 | 自動バックアップの実施 | 1 | ✅ | MAS-201 | PR.IR-04 | A.8.13 | 統 41 | 日次スケジュール実行 |
| 11.3 | 復旧データの保護 | 1 | ✅ | MAS-201, MAS-206 | PR.MAS-246, PR.IR-03 | A.8.13 | 統 41 | バックアップファイルは Drive 外部共有不可領域に保存(MAS-206 と整合) |
| 11.4 | バックアップの隔離インスタンス維持 | 1 | 🟡 | MAS-201 | PR.IR-04 | A.8.13 | 統 41 | Drive 内の別フォルダ保管。地理的隔離(別リージョン)は未検討 |
| 11.5 | バックアップの復旧テスト | 2 | ❌ | MAS-234 (new) | RC.RP-01, ID.SC-09 | A.8.13, A.5.30 | 運 20 | 定期復旧演習のルール未策定 |
2.12 CIS Control 12 — Network Infrastructure Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 12.1 | ネットワークインフラの最新維持 | 1 | ⚪ | — | PR.PS-02 | A.8.20 | 設 8, 設 9 | 物理 NW 非運用、クラウド依存 |
| 12.2 | セキュアなネットワークアーキテクチャの確立 | 2 | ⚪ | MAS-208 | PR.AC-04 | A.8.22 | 設 8 | GCP 移行時に VPC-SC 検討(MAS-208) |
| 12.3 | ネットワークインフラの安全な管理 | 2 | ⚪ | — | PR.PS-01 | A.8.20 | 設 8 | — |
| 12.4 | アーキテクチャ図の確立と維持 | 2 | 🟡 | docs/arch/ | ID.AM-03 | A.5.9 | 設 8 | arch_data_model.md 等で文書化 |
2.13 CIS Control 13 — Network Monitoring and Defense
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 13.1 | ネットワークベースの集中型アラート | 2 | ⚪ | MAS-210 | DE.CM-01 | A.8.16 | 運 15 | GCP 移行時に Security Command Center(MAS-210)で代替 |
| 13.2 | ホストベース侵入検知ソリューション | 2 | ❌ | MAS-222 | DE.CM-01, DE.CM-09 | A.8.16 | 運 15 | EDR 検討(MAS-222) |
| 13.3 | ネットワーク侵入検知ソリューション | 2 | ⚪ | — | DE.CM-01 | A.8.16 | 運 15 | 物理 NW なし |
| 13.6 | ネットワーク侵入防止ソリューション | 3 | ⚪ | — | PR.PS-01 | A.8.22 | 運 15 | — |
2.14 CIS Control 14 — Security Awareness and Skills Training
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 14.1 | セキュリティ意識向上プログラムの確立 | 1 | ❌ | MAS-222, MAS-223 | PR.AT-01 | A.6.3 | 統 10 | 採用拡大時に MAS-223 オンボーディングへ組込 |
| 14.2 | 社会工学攻撃の認識 | 1 | ❌ | MAS-223 | PR.AT-01 | A.6.3 | 統 10 | 同上 |
| 14.3 | 認証ベストプラクティスの認識 | 1 | 🟡 | MAS-205, MAS-223 | PR.AT-01 | A.6.3 | 統 10 | 2FA 運用(MAS-205)を Jr 研修に組込予定 |
| 14.4 | データ取扱いベストプラクティスの認識 | 1 | ❌ | MAS-223, MAS-254 | PR.AT-01 | A.6.3 | 統 10 | P マーク取得(MAS-254)で教材整備 |
| 14.5 | インシデント報告原因の認識 | 1 | ❌ | MAS-234 (new) | PR.AT-01 | A.6.3, A.5.24 | 運 22 | 報告手順の文書化未 |
| 14.6 | 安全でないネットワーク使用の危険性の認識 | 1 | ❌ | MAS-222 | PR.AT-01 | A.6.3 | 統 10 | 開発端末ポリシー(MAS-222)で公衆 Wi-Fi 利用ガイド予定 |
| 14.9 | 役割固有のセキュリティ意識向上 | 2 | ❌ | MAS-223 | PR.AT-02 | A.6.3 | 統 10 | Jr 向け技術セキュリティトレーニング |
2.15 CIS Control 15 — Service Provider Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 15.1 | サービスプロバイダー目録の確立 | 1 | 🟡 | MAS-216, MAS-254 | GV.SC-01, ID.SC-02 | A.5.19 | 統 32 | Google / Anthropic / GitHub / Slack 等。DPA リスト化は MAS-254 で整備 |
| 15.2 | サービスプロバイダー管理ポリシーの確立 | 2 | ❌ | MAS-254 | GV.SC-01, GV.SC-04 | A.5.19, A.5.20 | 統 32 | subprocessor 管理ポリシーは P マーク取得時に策定 |
| 15.3 | サービスプロバイダーの分類 | 2 | ❌ | MAS-254 | GV.SC-04 | A.5.19 | 統 32 | 重要度別ランク分けは未 |
| 15.4 | セキュリティ要件の確保 | 2 | 🟡 | MAS-216 | GV.SC-05 | A.5.20 | 統 32 | Vertex AI 移行(MAS-216)で Google の DPA に一元化 |
| 15.5 | サービスプロバイダーの評価 | 3 | ❌ | MAS-254 | GV.SC-07 | A.5.19 | 統 32 | 年次レビュー運用未 |
2.16 CIS Control 16 — Application Software Security
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 16.1 | セキュアなアプリ開発プロセスの確立 | 2 | 🟡 | MAS-224, MAS-225, MAS-227 | PR.PS-06 | A.8.25 | 統 26 | CI パイプライン(MAS-224)/ Branch protection(MAS-225)/ コードレビュー規程(MAS-227)で整備予定 |
| 16.2 | 脆弱性報告プロセスの確立 | 2 | ❌ | MAS-234 (new) | RS.CO-02, PR.PS-06 | A.8.25, A.5.6 | 統 26 | 商用化時(MAS-251)に外部受付窓口が必要 |
| 16.3 | ルートコーズ分析の実施 | 2 | 🟡 | docs/_internal/failure_patterns.md | RS.AN-05 | A.5.27 | 運 22 | failure_patterns.md で体系化(#1-#27) |
| 16.4 | サードパーティコンポーネントの目録維持 | 2 | 🟡 | — | ID.SC-02 | A.8.25, A.8.28 | 統 26 | package.json + npm audit で管理、独立台帳未 |
| 16.5 | 既知の信頼できないコンポーネント使用回避 | 2 | 🟡 | MAS-224 | PR.PS-06 | A.8.25 | 統 26 | Dependabot / npm audit の運用ルール整備予定 |
| 16.6 | ソフトウェア脆弱性のランク付け | 2 | ❌ | MAS-234 (new) | ID.RA-02 | A.8.25 | 統 26 | CVSS ベースの優先度付け未 |
| 16.7 | 標準的な強化構成テンプレートの使用 | 2 | 🟡 | CLAUDE.md | PR.PS-01 | A.8.25 | 統 26 | コーディング規約は CLAUDE.md で SSoT 化 |
| 16.8 | 本番 / 非本番システムの分離 | 2 | ✅ | MAS-215, .clasp.dev.json/.clasp.prod.json | PR.MAS-246 | A.8.31 | 統 27 | GAS / GCP とも dev/prod 完全分離(MAS-215) |
| 16.9 | アプリケーション開発者のトレーニング | 2 | ❌ | MAS-223 | PR.AT-02 | A.6.3, A.8.25 | 統 26 | Jr オンボーディング(MAS-223)で実施予定 |
| 16.10 | セキュアコーディング実践の実施 | 2 | 🟡 | CLAUDE.md, failure_patterns.md | PR.PS-06 | A.8.25 | 統 26 | failure patterns #26(OAuth スコープ崩壊)含め教訓化 |
| 16.11 | セキュリティ監視コードレビュー | 2 | 🟡 | MAS-227 | PR.PS-06 | A.8.28, A.8.25 | 統 26 | コードレビュー規程(MAS-227)で体系化予定 |
| 16.12 | コードレベル セキュリティチェック | 2 | ❌ | MAS-224 | PR.PS-06 | A.8.28 | 統 26 | ESLint + reviewdog(MAS-224)で静的解析導入予定 |
2.17 CIS Control 17 — Incident Response Management
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 17.1 | インシデント対応プロセスの指定 | 1 | ❌ | MAS-234 (new) | RS.MA-01 | A.5.24 | 運 22 | 担当者指名・連絡先リストの文書化未 |
| 17.2 | インシデント報告窓口の確立 | 1 | ❌ | MAS-234 (new) | RS.CO-02 | A.5.24, A.6.8 | 運 22 | 内部通報・外部通報窓口の整備未 |
| 17.3 | インシデント報告のプロセスの確立 | 1 | ❌ | MAS-234 (new) | RS.CO-02, RS.MA-01 | A.5.24 | 運 22 | インシデントログテンプレ + エスカレーションルール未 |
| 17.4 | インシデント対応手順の確立 | 2 | ❌ | MAS-234 (new) | RS.MA-01, RS.MA-02 | A.5.24, A.5.26 | 運 22 | プレイブック未策定 |
| 17.5 | キーとなる役員・第三者の連絡先 | 2 | ❌ | MAS-234 (new) | RS.CO-01 | A.5.24 | 運 22 | 顧問税理士・弁護士(MAS-228)・Google サポートの連絡先台帳未 |
| 17.6 | インシデント報告のしきい値の確立 | 2 | ❌ | MAS-234 (new) | RS.MA-03 | A.5.24 | 運 22 | 報告レベル区分(Low/Med/High/Critical)未 |
| 17.7 | インシデント対応シナリオのテスト | 3 | ❌ | MAS-234 (new) | ID.IM-02 | A.5.24 | 運 22 | 机上演習未 |
2.18 CIS Control 18 — Penetration Testing
| CIS# | Control / Safeguard | IG | 現状 | 対応案件 ID | NIST CSF 2.0 | ISO 27001 Annex A | FISC | 備考 |
|---|
| 18.1 | ペネトレーションテストプログラムの確立 | 2 | ⚪ | MAS-251 | ID.IM-02 | A.8.29 | 統 25 | 商用化フェーズ(MAS-251)で第三者監査時に実施 |
| 18.2 | 定期的な外部ペネトレーションテストの実施 | 2 | ⚪ | MAS-251 | ID.IM-02 | A.8.29 | 統 25 | 同上 |
| 18.3 | ペネトレーションテスト所見の修復 | 2 | ⚪ | MAS-251 | ID.IM-02, RS.MI-01 | A.8.29 | 統 25 | 同上 |
3. 日本固有・横断マッピング
3.1 電子帳簿保存法
| 要件 | 対応 | 案件 | 備考 |
|---|
| 真実性の確保(改ざん防止) | 監査証跡 + ファイル名規則 | MAS-179 / MAS-213 / MAS-152 | 98_audit_log で diff 保存 |
| 検索性の確保(日付/金額/取引先) | Drive 検索 + 証憑リネーム規則 | MAS-152 | YYYYMMDD_取引先_金額_.pdf 命名規則 |
| 見読可能性 | スプレッドシート + PDF 閲覧 | — | Workspace 標準機能で充足 |
| 関連書類の相互関連性 | 仕訳と証憑のリンク | Contracts DTO / MAS-153 | JNL_ID ↔ Drive file_id 連携 |
3.2 プライバシーマーク(JIS Q 15001:2023)への対応方針
- 全体統括: MAS-254(Phase 5、商用化時に取得)
- 前提整備: MAS-229(特権分離)、MAS-222(端末ポリシー)、MAS-228(契約書・NDA)
- 個人情報目録: 取引先担当者情報の最小化方針は
expense_policy.md 等で部分文書化済
4. ギャップサマリー
4.1 CIS Controls v8.1 IG1 充足率
| 区分 | 件数 | 割合 |
|---|
| ✅ 実装済 | 16 | 28.6% |
| 🟡 一部 | 17 | 30.4% |
| ❌ 未 | 11 | 19.6% |
| ⚪ N/A(一人会社 / 物理 NW なし) | 12 | 21.4% |
| 計 | 56 | 100% |
充足率(✅ + 🟡)= 58.9%、純粋実装率(✅)= 28.6%。N/A を除いた実質対象 44 件に対する充足率は 75.0%。
4.2 主要未対応領域トップ 5
| # | 領域 | 該当 CIS | 影響度 | Phase | 推奨案件 |
|---|
| 1 | インシデント対応体系 | 17.1〜17.7 | 高(監査致命) | 1 | MAS-234 IR 規程 |
| 2 | 脆弱性管理プロセス | 7.1, 7.2, 7.7, 16.6 | 中(CVE 見落とし) | 1 | MAS-224 + MAS-234 |
| 3 | セキュリティ意識向上 | 14.1〜14.6, 14.9 | 中(Jr 入社リスク) | 2 | MAS-223 + MAS-254 |
| 4 | バックアップ復旧演習 | 11.5 | 中(リカバリ不安定) | 2 | MAS-234(半期 1 回) |
| 5 | データ分類 / DLP | 3.7, 3.13 | 中(P マーク前提) | 3 | MAS-254 + DLP |
詳細: 該当 CIS は IG1 3 件 / IG2 4 件(行 1)。MAS-224 = CI で npm audit(行 2)。
4.3 補助ギャップ(サブクリティカル)
- メール認証(DMARC / SPF / DKIM、CIS 9.5)の現状確認
- モバイル機器の自動ワイプ(CIS 4.10, 4.11)
- コマンドラインログの収集(CIS 8.8、開発端末)
- サービスプロバイダー分類・評価(CIS 15.2, 15.3, 15.5)
5. 推奨着手順(Phase 0-6 優先度マトリクス)
dev_mas-234_security_roadmap.md と連動する着手順案。具体的な成果物 / スケジュールは MAS-234 側で確定する。
| Phase / 期間 | 主テーマ | 構成案件 | 期待成果 |
|---|
| 0 即時 | 既完了の固定化 | MAS-205/206/215/201/179 | 現状インベントリ再点検 |
| 1 ~3 ヶ月 | 不在プロセス整備 | MAS-234 + MAS-213/222 | IG1 充足率 ✅ ≧ 45% |
| 2 ~6 ヶ月 | 権限/教育整備 | MAS-229/223/224/225/227/228 | 採用→教育→契約→権限分離 |
| 3 ~12 ヶ月 | 認証準備・データ分類 | MAS-254 + DLP + MAS-216 | P マーク申請可能水準 |
| 4 ~18 ヶ月 | GCP 強化・ゼロトラスト | MAS-207/208/209/210 | VPC-SC / CMEK / SCC |
| 5 商用化時 | 第三者監査・認証取得 | MAS-251 / MAS-211 | 外部監査 + ペンテスト |
| 6 継続 | 運用定着 | 月次レビュー / 年次演習 | IG2 充足率 ✅ ≧ 30% |
Phase 1 MAS-234 は IR / 脆弱性管理 / 復旧演習を統合。Phase 5 MAS-211 は SOC2 / ISO 27001 認証取得。
6. 参考文献
- CIS Controls v8.1 (2024-06): Center for Internet Security, Inc.
- NIST Cybersecurity Framework 2.0 (NIST CSWP.29, 2024-02)
- ISO/IEC 27001:2022 Information security management systems — Requirements
- FISC 金融機関等コンピュータシステムの安全対策基準 第 11 版(2024)
- JIS Q 15001:2023 個人情報保護マネジメントシステム — 要求事項
(FISC 本文は有料 PDF のため引用せず、条項番号レベルでの対応関係のみ記載)
7. 更新履歴
| 日付 | 変更者 | 内容 |
|---|
| 2026-04-22 | sub (docs) | 初版作成(MAS-234 一環) |
初版集約範囲: CIS v8.1 IG1 全 56 項目 + IG2 主要 + NIST CSF 2.0 / ISO 27001 / FISC