情報セキュリティ

IT製品の調達におけるセキュリティ要件リスト活用ガイドブック

公開日:2014年5月19日

最終更新日:2019年7月31日

独立行政法人情報処理推進機構
セキュリティセンター

IPA(独立行政法人情報処理推進機構)では、経済産業省が公開した「IT製品の調達におけるセキュリティ要件リスト」を活用するために、具体的な活用例等を解説した「IT製品の調達におけるセキュリティ要件リスト活用のためのガイドブック」を公開しています。

 平成25年6月に情報セキュリティ政策会議で決定された「サイバーセキュリティ2013」では、政府機関における、安全性・信頼性の高いIT製品等の利用推進が求められています。これを受け、経済産業省とIPAが共同で作成した「IT製品の調達におけるセキュリティ要件リスト(第1版)」が平成26年5月に経済産業省から公開され、今般
その第2版が公表されました。

「IT製品の調達におけるセキュリティ要件リスト」はデジタル複合機、ファイアウォール等の製品分野毎に考慮すべきセキュリティ上の脅威とそれに対抗するためのセキュリティ要件をまとめたものです。政府機関だけでなく一般企業、組織等で前述の分野の製品を調達する際、想定される脅威に対抗できる製品の調達に活用することができます。

しかし「IT製品の調達におけるセキュリティ要件リスト」は、いわば辞書的な役割を担っており、関連する周辺情報や詳細な注意点、想定される例外事項に対する考え方などは記載されていません。そこで、IPAでは「IT製品の調達におけるセキュリティ要件リスト」を補完するために、「ガイドブック」を提供しています

「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」の内容

1,はじめに

ガイドブックの対象読者と、「政府機関の情報セキュリティ対策のための統一基準」における「IT製品の調達におけるセキュリティ要件リスト」の位置づけを解説しています。

2.「要件リスト」の基本的な活用方法

IT製品の調達におけるセキュリティ要件リスト」の基本的な活用方法を解説しています。

3.IT製品分野毎の「要件リスト」の活用例・注意点

デジタル複合機やICカード等のIT製品分野について、「IT製品の調達におけるセキュリティ要件リスト」の活用例・注意点を解説しています。

4.調達したIT製品の利用・運用時の注意点

調達したIT製品を利用・運用する際の注意点を解説しています。

5.「要件リスト」に関する補足説明

「IT製品の調達におけるセキュリティ要件リスト」自体を補足する説明をしています。

資料のダウンロード

「IT製品の調達におけるセキュリティ要件リスト」適合製品情報

製品分野ごとの適合製品情報ページ

本情報は、ISO/IEC15408(Common Criteria)認証取得製品の内、「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」(Protection Profile)に適合していることが認証された製品をピックアップし掲載しています。(*)
製品調達時の対象製品の確認などにご活用ください。
ピックアップは以下の情報を対象として行っています。

  • 日本の評価認証制度であるJISECでの認証製品(JISECのポータルサイトに掲載)
    • 認証製品リスト
  • CCRA加盟各国の認証製品(CCRAポータルサイトに掲載)

CCRA加盟国の認証取得製品は、表中の備考欄にCCRAと記述しています。 また、備考欄にアーカイブと記述されている製品は、各ポータルサイトにおいてアーカイブリストに移行された 製品であることを示します。 アーカイブリストは、各国の認証機関の判断により、認証取得後一定期間経過した製品を掲載するリストです。 日本の場合は、認証取得から5年経過した製品、および、供給者による販売が終了した製品が掲載されます。

アーカイブされた製品の調達に際しては、製品購入の可否等について各製品販売元へ確認をお願いします。
なお、本情報に掲載されていないISO/IEC15408(Common Criteria)認証取得製品であっても、「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」と同等以上のセキュリティ要件で認証を取得している場合があります。

そのような製品を調達対象とする場合には、「IT製品の調達におけるセキュリティ要件リスト活用ガイドブック」をご参照ください。

  1. (*)
    「IT製品の調達におけるセキュリティ要件リスト」に記載されている「国際標準に基づくセキュリティ要件」(Protection Profile)に適合していることが認証された製品であるにも関わらず、本情報に掲載されていない製品がありましたら、「本件に関するお問い合わせ先」までご連絡ください。

お問い合わせ先

本件に関するお問い合わせ先

IPA セキュリティセンター

  • E-mail

    isec-infoアットマークipa.go.jp