2017年12月7日
独立行政法人情報処理推進機構
2017年12月7日
独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:富田 達夫)は、政府機関や自治体をはじめネットワークカメラシステムの調達者が活用できる「ネットワークカメラシステムにおける情報セキュリティ対策要件チェックリスト」を公開しました。
近年、公共の場に設置されたネットワークカメラの映像が不特定多数に閲覧できる状態にあったことが指摘され、情報セキュリティ対策の必要性が認識されるようになりました。国の機関などがネットワークカメラシステムを調達する際には、その運用において想定される脅威への対策を講ずることが「統一基準(*1)」で求められています。
そこで、IPAではより安全な国民サービスを提供するための政府調達推進の一環として、ネットワークカメラシステムの機能と運用におけるセキュリティ上の対策を確認できるチェックリストを公開しました。
本チェックリストは、「必須要件」と、「条件によっては必須とする要件」との2パターンで構成されています。実現が難しいセキュリティの要件を推奨するものではなく、調達者にとって解りやすく、かつ市場調達の観点からも現実的な要件のみを記載しているのが特徴です。これらの要件の策定にあたっては、まずネットワークカメラシステムの実態調査と市場関連製品の調査を行いました。そして、①保護すべきデータや想定される脅威の分析、②脅威への対策の洗い出し、③委員会(*2)による対策の要件化、を行いました。
今回公開された第1版では、物理的または論理的な閉域網を対象としていますが、来年度にはインターネットに直接接続されたネットワークカメラシステムの追加要件の公開も計画しています。
図 1 対象とするネットワーク構成の一例
チェックリストは、設計構築・運用・保守・廃棄フェーズがあり、フェーズ毎に調達仕様にそのまま転記して利用できる「仕様書へ記述する要件」と、組織が自ら構築する際に参考となる「組織における対策/運用」が記載されています。
表 1 要件表記の一例
本チェックリストは、政府機関の調達のみならず自治体や民間組織における調達への活用も可能です。なお、検討委員会のメンバーであった横浜市では、平成30年度以降のIoTシステムや製品の調達において、本チェックリストを参照する検討をすでに始めています。
なお、本チェックリストおよび関連する調査資料は、製品のセキュリティに対する仕様変更や、IoTに対する攻撃手法の変化に伴い更新する予定です。調達時には以下のURLからダウンロードし、最新のチェックリストを利用してください。
https://www.ipa.go.jp/security/jisec/choutatsu/nwcs/index.html
IPAでは、今後もIT製品の安全な政府調達のための情報提供を行っていきます。
(*1) 政府機関の情報セキュリティ対策のための統一基準:2016年8月31日サイバーセキュリティ戦略本部決定。
(*2) 特定用途機器情報セキュリティ対策検討委員会:政府機関や自治体の調達者、有識者、及びネットワークカメラベンダで構成。
Tel: 03-5978-7538 Fax: 03-5978-7548 E-mail: 
Tel: 03-5978-7503 Fax: 03-5978-7510 E-mail: 
(PDF:463KB)