特定非営利活動法人日本セキュリティ監査協会　永宮 直史

1. 情報セキュリティサービス基準審査登録制度の概要

本制度は「情報セキュリティサービスとして、政策の対象となり得る品質のサービスを明確にすること」を目的に2018年6月に開始された。この制度は、経済産業省告示の「情報セキュリティサービス基準」及び「情報セキュリティサービスに関する審査登録機関基準（以下、審査登録機関基準）」に基づいている。

情報セキュリティサービス基準は、情報セキュリティ監査サービス、脆弱性診断サービス、デジタル・フォレンジックサービス、セキュリティ監視・運用サービスの４つを対象に、一定のサービス品質を確保するための要件を定めたものである。

審査登録機関(JASA)は民間事業者の申請したサービスがこの基準に適合しているかを審査し、適合したサービスについて公表する。この公表資料に基づき、IPAはJASAの審査が審査登録機関基準に準拠していることを確認した上で、「情報セキュリティサービス基準適合情報セキュリティサービスリスト」として公開する。　

このリストに掲載されたサービスは、政府調達や地方公共団体の調達において優先的に選定対象（※）となること、コネクテッド・インダストリーズ税制における要件となること、ITに関連する補助制度の対象となることなどの優遇を受けることができる。

2．審査登録状況

昨年6月以降5回の審査による累計登録数は、情報セキュリティ監査サービス23件、ぜい弱性検査サービス39件、デジタル・フォレンジックサービス16件、セキュリティ監視・運用サービス29件、合計107件である。

サービス別にみると、脆弱性診断サービスの登録数が多いものの、各サービスとも10件以上の登録となっており、利用者が多数のサービスの中から選択できるようになっている。

3．今後の展開

本制度の展開のポイントは３つある。第一は登録のメリットを高めることである。現在経済産業省が公開している情報セキュリティ監査企業台帳が、IPA情報セキュリティサービスリストと同等の優遇を受けているがため現時点での本制度のメリットが見えにくい。経済産業省はこの台帳を今年度で廃止することを公表しているので、来年度以降に登録メリットが明確になる。今後は、同様の優遇措置が他のサービスにも適用されるように関係機関に働きかけを行うことが必要である。

第二は情報セキュリティサービス基準の要件を満たすための支援である。基準に規定される人的要件の中には、コミュニティ活動や講演活動など、大都市圏でなければ満たすことが容易でないものがあり、地方部の特に中小企業では要件を満たしにくい。技術者の能力資格を明確にする制度を充実させ、資格取得で要件を満たすようにすることが必要である。また、本制度では外部委託をしていても認定要件を満たすことから、現時点で需要が小さい地域では登録サービス企業と提携して需要を開拓するなどの方向を示し、サービス参入を促すことも必要と考えられる。

第三は利用者の分かりやすさである。情報セキュリティサービスを実際に利用する場合には、より詳細なサービス区分等が明示されることが望ましい。このため、本制度でもサービスカテゴリーを定義し、表示できるようにすることを検討中である。ただ、審査機関としては表示の要件を満たしているか審査する必要があることから、利用者が望む詳細度でカテゴリーを表現することは容易ではない。このため、JNSAのソリューションガイドと連携するなど、関係機関と連携して利用者が分かる情報提供を行うことが必要である。

※現時点で、政府統一基準等では情報セキュリティ監査サービスのみが対象である。

 

＃連載リレーコラム、ここまで

＜お断り＞
本稿の内容は著者の個人的見解であり、所属企業及びその業務と関係するものではありません。

＜ワンクリックアンケートお願い＞
今回のメールマガジン167号の感想をお寄せください。
https://bit.ly/2SAJO9v
※googleアンケートフォームを利用しています。

【部会・WGからのお知らせ】
★ゲーム教育WGでは、【セキュ狼】解説動画を４本公開、情報科学専門学校の学生と共同開発したAndroid用無料アプリもリリースしました。 　
「セキュ狼」紹介ページよりご覧ください。
https://www.jnsa.org/edu/secgame/secwerewolf/secwerewolf.html#sw_youtube

★JTAGが6月27日に開催した勉強会「職の大ミスマッチ時代を乗り越える人材戦略 」の講演資料を公開しました。
https://www.jnsa.org/isepa/activities/seminar.html

★「SECCONビギナーズ苫小牧」、「SECCONビギナーズ金沢」、 「SECCON Workshop広島」の参加登録を開始しました。 　
詳細・登録は「SECCON2019」から↓ 　
https://www.seccon.jp/2019/

【事務局からのお知らせ】
★オーストラリア大使館商務官をお招きして勉強会を開催します。
テーマ：オーストラリアのサイバーセキュリティ戦略とその背景
講師：オーストラリア大使館 商務官　五十嵐 大二　様
日時：2019年 8月5日（月）17：00-18：00
ご参加希望の方はJNSA事務局( office@jnsa.org )までご連絡下さい。

★独立行政法人情報処理推進機構様刊行の冊子を配布中です。
「中小企業の情報セキュリティ対策ガイドライン　第3版 」ご希望の方はJNSA事務局まで。

★「JNSA全国横断セキュリティセミナー2019」を名古屋市、東京、大阪市、札幌市、那覇市の5地区で開催。JNSA会員限定で「協賛企業」を募集中です。
協賛に関するお問合せは、JNSAセミナー企画事務局( seminar-sec@jnsa.org )まで。

★JNSAは、（ISC）2やSANSの代理店として、会員企業の方へトレーニングの割引販売を行っております。
受講の際にはぜひ事務局までご連絡下さい。

☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。

↓　以下、 JNSA会員企業からのご案内です
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣
先日北海道は札幌にてHardening Project 2019が今年度初めて開催
されました。弊社ではそのサブプロジェクトであるMicro Hardening
：Enterprise Editionを8月にGSX本社で開催します。
併せて7末8末の2回、同様にGSX本社で開催するCND
（Certified Net work Defender：認定ネットワークディフェンダー）の
ハンズオン（体験）セミナーをご紹介させていただきます。
是非お気軽にご参加くださいませ。
…━━…━━…━━…━━…━━…━━…━━…━━…━━…━━
　マイクロハードニング / CNDハンズオンセミナー開催のご案内
………………………………………………………………………………
https://www.gsx.co.jp/academy/microhardening.html
………………………………………………………………………………
https://www.gsx.co.jp/seminar/seminar_ECChandson_20190708.html
…━━…━━…━━…━━…━━…━━…━━…━━…━━…━━
【GSX】グローバルセキュリティエキスパート株式会社

============================================================

2019年度CISSPトレーニング9月開催分の
早割申込期間は、来週7/22まででございます。
さらにJNSA会員様向けの特別優待価格でのご提供となりますので、
ぜひこの機会をお見逃しのないようご検討くださいませ。

■□■CISSPトレーニング■□■
日程：2019年9月4-5日、9-11日（5日間）
時間：9:30〜19:00
会場：大手町ファーストスクエアカンファレンス
http://www.1ofsc.jp/access/index.html
トレーニング受講料　税抜・試験込み　
通常：535,000円⇒JNSA会員特別価格：490,000円
詳細：https://www.nri-secure.co.jp/service/learning/cissp_training.html

【NRIセキュアテクノロジーズ】

============================================================

手口の高度化が進むサイバー攻撃対策の「次の一手」に。

ESET製品ラインアップに新しく、クラウド型ゼロデイ攻撃対策
として「ESET Dynamic Threat Defense」をリリースしました。
既存のESET製品とクラウドサービスとを連携させ、新たな
セキュリティレイヤーとして機械学習やサンドボックスと
いった高度なマルウェア検知技術を追加可能です。

ESET Dynamic Threat Defenseの特長や導入のメリットについて
ASCII.jpで、弊社製品担当者の生の声をご紹介します！

　▼ESET on ASCIIの記事はこちら▼
https://ascii.jp/elem/000/001/883/1883798/

［キヤノンマーケティングジャパン株式会社］

============================================================

［8/23（金）］ 無料セミナーのご案内
「サイバー攻撃統合分析プラットフォーム
によるセキュリティ・オペレーション」

本セミナーでは、セキュリティ・オペレーションにおける
「セキュリティの可視化」の価値について議論を深めたいと思います。
基調講演にNICT サイバーセキュリティ研究室の井上大介室長をお迎えし、
NICTにおける最新の研究成果についてお話し頂きます。

日時：8月23日（金）14：00-16：00
会場：中野セントラルパークカンファレンス1階 ルーム1
（東京都中野区；JR中野駅徒歩約7分）
★詳細・お申込→ https://kke.lmsg.jp/seminar/11672/ufJ3Z5fb

［株式会社構造計画研究所］

============================================================

■Webアプリケーション脆弱性検査ツール『Vex』■

Vexは定期的な自社サイトの検査、開発工程でのテストなど、
様々なシーンでいつでも・何度でも利用できます。
導入企業からは低コスト・高機能・診断サービスでの品質向上・
操作性・サポート力など総合的に高い評価を頂いています。
検査コストを削減し検査品質を向上したい企業様に、
Vexが脆弱性対策を全力でサポートします。
2週間無料でトライアルいただけますので、
国産ツールであるVexを是非この機会にお試しください。

■お問い合わせ：https://www.ubsecure.jp/inquiry

■株式会社ユービーセキュア

*************************************
JNSAメールマガジン　第167号
発信日：2019年7月26日
発　行：JNSA事務局　
*************************************