情報セキュリティ白書2022 220923 第2章 情報セキュリティを支える基盤の動向(抜粋) 2.1 国内の情報セキュリティ政策の状況 2.1.2 経済産業省の政策
情報セキュリティ白書2022 220923
第2章 情報セキュリティを支える基盤の動向
(抜粋)
2.1 国内の情報セキュリティ政策の状況
2.1.2 経済産業省の政策
(4)情報セキュリティサービス審査登録制度
情報セキュリティサービスを安心して活用できる環境を
醸成するべく、経済産業省は「情報セキュリティサービス
基準」(以下、本サービス基準)及び「情報セキュリティ
サービスに関する審査登録機関基準」を策定し、2018
年 2 月に公表した※ 8。2022 年 1 月31日には、両基準
に基づく情報セキュリティサービス審査登録制度の一層
の普及を図るべく、両基準の第 2 版を公表し、併せて、
初版で「附則」としていた見直し需要の高い項目を「情報
セキュリティサービスにおける技術及び品質の確保に資
する取組の例示」として新たに公開した※ 50。
情報セキュリティサービス審査登録制度は、本サービ
ス基準に照らして、情報セキュリティサービスについて一
定の品質の維持・向上が図られているか否かを第三者
が客観的に判断し、結果を公開することで、利用者が
必要なセキュリティサービスを容易に選定できるようにす
る枠組みである。
IPA はこの枠組みに基づき、2018 年 7 月から、審査
登録機関※ 51 による審査の結果、本サービス基準に適
合すると認められ、当該機関の登録台帳に登録され、
かつIPAに誓約書を提出した事業者の情報セキュリティ
サービスを「情報セキュリティサービス基準適合サービス
リスト」(以下、本リスト)として公開している※ 52。また、
2021 年 2 月からは、本リスト利用者がサービスを選定す
る際の参考となるよう、サービスのホームページへのリン
ク、サービスの概要、主たる対象顧客の分野・業種、対
象とする地域の情報を本リストに追加し、提供している。
本サービス基準では、情報セキュリティサービスを以
下の四つに分類しており、これらのサービス登録数の合
計は 2022 年 4 月に 249 件に達した。登録数の推移とし
ては、ゆるやかな上昇傾向にある(図 2-1-5)。
• 情報セキュリティ監査サービス
• 脆弱性診断サービス
• デジタル・フォレンジックサービス
• セキュリティ監視・運用サービス
なお、本リストは、NISC の「政府機関等の対策基準
策定のためのガイドライン(令和 3 年度版)※ 16」におい
て、以下のケースにおける外部委託先選定の際に活用
できるように参照されている。
• 監査業務の外部委託先選定
• 脆弱性診断の外部委託先選定
• インシデントレスポンス業務の外部委託先選定
• セキュリティ監視業務の外部委託先選定
また、本リストの「情報セキュリティ監査サービス」に掲
載されているサービスを提供する監査機関であることは、
「政府情報システムのためのセキュリティ評価制度
(ISMAP)」において、評価を実施する監査機関の登録
申請における要求事項の一つとなっている(「2.7.3 政府
情報システムのためのセキュリティ評価制度(ISMAP)」
参照)。
今後、本サービスリストの活用が進むことで、情報セキュ
リティサービスの品質の維持・向上に加え、情報セキュリ
ティサービス市場の活性化にもつながることが期待される。
所感
完全に世界最高峰に関わる軍事技術が抜けているので、
セキュリティ基準も、一般レベルになる。
悪意がある国レベルの攻撃は、技術もノウハウも、完全に
上を言っている可能性がある。
国の責任で機密レベルを選択して、独立した管理が必要と
考える。この基準は危険すぎる。