みずほ情報総研株式会社
経営・ＩＴコンサルティング部
　　　 冨田　高樹

今年（2018年）7月に独立行政法人情報処理推進機構（IPA）から「情報セキュリティサービス基準適合サービスリスト」が公開されたことで、経済産業省が公表する「情報セキュリティサービス基準」に基づく情報セキュリティサービス審査登録制度が本格的にスタートしました。本コラムでは、一見すると複雑な印象もある本制度の仕組みや特徴について紹介してみたいと思います。

本制度の特徴は、「情報セキュリティサービス」を対象とした国内で初めての審査制度ということです。これまでも、情報セキュリティマネジメントシステム（ISMS）制度など、情報セキュリティ分野の認証や認定に関する制度はありましたが、いずれも製品やシステム、組織等における情報セキュリティ対策を対象とするものでした。クラウドコンピューティングに代表されるIT（情報技術）におけるサービス化の流れが進展する中、サイバーセキュリティ対策に関してもサービスとしての利用形態が増えています。そうした状況において、専門知識をもたないサービス利用者が、サービス事業者を選定する際にそのサービスの品質を判断することは容易ではありません。そのため、情報セキュリティサービスについて一定の品質の維持向上が図られていることを第三者が客観的に判断し、その結果を公開することで、サービス利用者が調達時に参照できるような仕組みとして提供されたのが本制度なのです。

それでは、「情報セキュリティサービス基準適合サービスリスト」に掲載されているサービスはそれ以外のサービスと比較して、技術的に高度なサービスなのでしょうか。答えはNOです。経済産業省が公表している情報セキュリティサービス基準」をご覧になるとわかりますが、同基準において求められているのは、情報セキュリティサービスを提供する上で求められる技術の確保に関する要件と、サービスの品質を管理することに関する要件の２点です。真面目に情報セキュリティに関わる事業を行っている事業者であれば、提供しているサービスが高度なものかどうかに関わらず、これらの要件を満たすことは決して難しくありません。一方で、セキュリティに関する専門性を備えた要員がいないのに、セキュリティベンダを装ってサービスを提供するような企業は同基準をクリアすることができません。したがって、同リストに掲載されているかどうかを調べることで、悪質な事業者でないことを確認することができます。こうした特徴をもとに、今年7月25日に内閣サイバーセキュリティセンター（NISC）より公表された「政府機関等の対策基準策定のためのガイドライン」では、情報セキュリティ監査サービスについて、その調達に際して同リストを活用することが示されています。現時点では制度が開始されて間もなく、リストに掲載されている企業もごく限られているため、リストに掲載されていないからといって、悪質であるとみなすのは適切ではありませんが、将来的には同ガイドラインと同様、情報セキュリティサービスの調達の場面において、本制度が活用されていくことが期待されています。

一方で本制度は前述の通り、複数の関係機関が異なる役割を担っているため、一見すると何やら複雑です。「情報セキュリティサービス基準」を公表したのは経済産業省ですが、その基準に基づいて情報セキュリティサービスの適合性を判断するのは民間機関です。その判断結果をもとに基準に適合した情報セキュリティサービスを掲載した「情報セキュリティサービス基準適合サービスリスト」を公表するのはIPAです。なぜこんなことになっているかというと、現行の法律の枠組みの中で、制度趣旨に即した運用を実現するための工夫の結果とお考えいただければよいかと思います。本制度が比較的短期間のうちに開始に至ったのは、こうした工夫の結果なのです。なお、現時点で適合性を判断する民間機関は１機関のみですが、プライバシーマーク制度における審査機関などと同様、複数の機関により判断が行えるような仕組みとなっています。

「情報セキュリティ監査サービス」「脆弱性診断サービス」「デジタルフォレンジックサービス」「セキュリティ監視運用サービス」の４種類の情報セキュリティサービスを対象に開始された本制度ですが、将来的に対象サービスを拡大することが検討されています。社会においてITが担う役割が増大し、それとともに情報セキュリティ対策へのニーズも多様化する中、ITの利用者が情報セキュリティサービスを選ぶ機会も今後ますます増えていくことが見込まれます。
そうした動きの中で、利用者が安心して情報セキュリティサービスを活用するための支援の仕組みとして、本制度が活用されていくことが期待されます。

情報セキュリティサービス基準（経済産業省）
http://www.meti.go.jp/policy/netsecurity/shinsatouroku/touroku.html

情報セキュリティサービス基準適合サービスリスト（IPA）
https://www.ipa.go.jp/security/it-service/service_list.html

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

【部会・WG便り】
★内閣官房内閣サイバーセキュリティセンターの吉田恭子内閣参事官を
　お招きして勉強会を開催します。参加ご希望の方は、JNSA事務局まで
　ご連絡ください。
　「サイバーセキュリティ基本戦略」に関する勉強会
　日　時：2018年9月14日（金）　17:00-18:30
　講　師：内閣官房　内閣サイバーセキュリティセンター（NISC）
　　　　　　基本戦略グループ　内閣参事官　吉田 恭子氏

★経済産業省サイバーセキュリティ課の奥家敏和課長をお招きして勉強会を
開催します。参加ご希望の方は、JNSA事務局までご連絡ください。
「産業分野におけるサイバーセキュリティ」
日　時：2018年9月19日（水）　15:30-17:00
講　師：経済産業省 サイバーセキュリティ課　課長　奥家 敏和氏

【事務局からのお知らせ】
★後援イベント「codeBALI（コードバリ）2018」では協賛企業を募集中です。
　　codebali2018 プログラム｜協賛のご案内は以下よりご覧ください。
　　https://codebali.server-domain.com/

★「JNSA全国横断セキュリティセミナー2018」那覇会場10/4参加受付中です。
　参加者にはCAISとCISSPポイント、ITC実践力ポイントも付与されます。
　申込情報はこちらをご覧下さい！
　https://www.jnsa.org/seminar/2018/cross2018/

★IPAからの「ビジネスメール詐欺」に関する注意喚起をお送りします。
　ビジネスメール詐欺は、手口が悪質・巧妙なだけでなく、金銭被害が
　多額になる特徴があります。被害を防止するためには、特に企業の経理
　部門等が、このような手口の存在を知り、社内でのチェック体制の再
　確認と整備を行うことが重要です。
　▼詳細はこちらをご覧ください
　https://www.ipa.go.jp/security/announce/201808-bec.html

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

*************************************
JNSAメールマガジン　第145号
発信日：2018年9月7日
発　行：JNSA事務局　
*************************************