HOME情報セキュリティ情報セキュリティ認証関連IT製品の調達におけるセキュリティ要件リスト活用ガイドブック

本文を印刷する

情報セキュリティ

IT製品の調達におけるセキュリティ要件リスト活用ガイドブック

最終更新日:2016年7月19日
掲載日:2014年5月19日
独立行政法人情報処理推進機構
セキュリティセンター

IPA(独立行政法人情報処理推進機構)では、経済産業省が公開した「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用のためのガイドブック」を公開しました。
平成25年6月27日情報セキュリティ政策会議で決定された「サイバーセキュリティ2013」では、政府機関における、安全性・信頼性の高いIT製品等の利用推進が求められています。これを受け、経済産業省とIPAが共同で作成した「IT製品の調達におけるセキュリティ要件リスト」が、経済産業省から公開されました。

「IT製品の調達におけるセキュリティ要件リスト」はデジタル複合機、ファイアウォール等の製品分野毎に考慮すべきセキュリティ上の脅威とそれに対抗するためのセキュリティ要件をまとめたものです。政府機関だけでなく一般企業、組織等で前述の分野の製品を調達する際、想定される脅威に対抗できる製品の調達に活用することができます。

しかし「IT製品の調達におけるセキュリティ要件リスト」は、いわば辞書的な役割を担っており、関連する周辺情報や詳細な注意点、想定される例外事項に対する考え方などは記載されていません。そこで、IPAでは「IT製品の調達におけるセキュリティ要件リスト」を補完するために、「ガイドブック」を作成、公開しました。

「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の内容

第1部:ガイドブックの対象読者と、「政府機関の情報セキュリティ対策のための統一基準」における「IT製品の調達におけるセキュリティ要件リスト」の位置づけを解説しています。
第2部:「IT製品の調達におけるセキュリティ要件リスト」の基本的な活用方法を解説しています。
第3部:デジタル複合機やICカード等のIT製品分野毎に、「IT製品の調達におけるセキュリティ要件リスト」の活用例・注意点を解説しています。
第4部:調達したIT製品を利用・運用する際の注意点を解説しています。
第5部:「IT製品の調達におけるセキュリティ要件リスト」自体を補足する説明をしています。

資料のダウンロード

「IT製品の調達におけるセキュリティ要件リスト」適合製品情報

製品分野 更新日
デジタル複合機(MFP) 2016年6月14日
ファイアウォール 2016年1月14日
不正侵入検知/防止システム(IDS/IPS) 2016年7月19日
OS(サーバOSに限る) 2015年6月26日
データベース管理システム(DBMS) 2016年5月10日

 本情報は、ISO/IEC15408(Common Criteria)認証取得製品の内、「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」(Protection Profile)に適合していることが認証された製品をピックアップし掲載しています。(*)
製品調達時の対象製品の確認などにご活用ください。

ピックアップは以下の情報を対象として行っています。 
日本の評価認証制度であるJISECでの認証製品
CCRA加盟各国の認証製品

 なお、本情報に掲載されていないISO/IEC15408(Common Criteria)認証取得製品であっても、「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」と同等以上のセキュリティ要件で認証を取得している場合があります。

そのような製品を調達対象とする場合には、「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の「2.「要件リスト」の基本的な活用方法」-「(2) 「国際標準に基づくセキュリティ要件」と同等であることの確認」をご参照ください。

 


(*)「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」(Protection Profile)に適合していることが認証された製品であるにも関わらず、本情報に掲載されていない製品がありましたら、「本件に関するお問い合わせ先」までご連絡ください。
 

参考ページ

・ITセキュリティ評価及び認証制度等に基づく認証取得製品リスト
 リンク:https://www.ipa.go.jp/security/cc-product/index.html

本件に関するお問い合わせ先

IPA 技術本部セキュリティセンター E-mail: