情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. ITセキュリティ評価及び認証制度(JISEC)
  4. 評価認証制度(JISEC/ジェイアイセック)について
  5. セキュアな製品調達のために
  6. 調達仕様の書き方

調達仕様の書き方

最終更新日:2018年6月11日

政府の調達関係者は、情報システムへ「IT製品の調達におけるセキュリティ要件リスト(平成30年2月28日 経済産業省)」に該当する製品を調達する際、セキュリティ要件リストに記載された「国際基準に基づくセキュリティ要件」の記載を引用し、以下の各サンプルを転記することにより、「政府統一基準」で義務付けられたセキュリティ要件を満たした製品の調達仕様を作成することができます。

調達仕様を作成する際は、想定される脅威が、セキュリティ要件リストに記載されたものに該当するかの確認が必要となります。
詳しくは、IT製品の調達におけるセキュリティ要件リスト活用ガイドブックを確認してください。

デジタル複合機(MFP)

セキュリティ要件【共通要件】

  • 納入するデジタル複合機は,「IEEE Std 2600.1 TM - 2009, Protection Profile for Hardcopy Devices, Operational Environment A Version 1.0」、「U.S. Government Approved Protection Profile - U.S. Government Protection Profile for Hardcopy Devices Version 1.0 (IEEE Std. 2600.2 TM - 2009)」又は「Protection Profile for Hardcopy Devices (Version 1.0以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

ファイアウォール

セキュリティ要件【共通要件】

  • 納入する不正侵入検知/防止システム(IDS/IPS)は,「Protection Profile Intrusion Detection System - System for Basic Robustness Environments (Version 1.7以上)」又は「Extended Package for Intrusion Prevention Systems (Version 2.1以上) 及び collaborative Protection Profile for Network Devices (v1.0 (ND cPP v1.0)以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

不正侵入検知/防止システム(IDS/IPS)

セキュリティ要件【共通要件】

  • 納入する不正侵入検知/防止システム(IDS/IPS)は,「U.S. Government Protection Profile Intrusion Detection System System for Basic Robustness Environments, Version 1.7」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

OS(サーバOSに限る)

セキュリティ要件【共通要件】

  • 納入するOS(サーバOSに限る)は,「Operating System Protection Profile BSI-CC-PP-0067 Version 2.0」、「General-Purpose Operating System Protection Profile (Version 3.9)」又は「Protection Profile for General Purpose Operating Systems (Version 4.1, PP-OS-v4.1以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

データベース管理システム(DBMS)

セキュリティ要件【共通要件】

  • 納入するデータベース管理システム(DBMS)は,「Base Protection Profile for Database Management Systems (v2.07 (BSI-CC-PP-0088-2015)以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

ルータ/レイヤ3スイッチ

セキュリティ要件【共通要件】

  • 納入するルータ/レイヤ3スイッチは,「Protection Profile for Network Devices v1.1 (PP_ND_V1.1)」又は「collaborative Protection Profile for Network Devices (v1.0 (ND cPP v1.0)以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

モバイル端末管理システム

セキュリティ要件【共通要件】

  • 納入するモバイル端末管理システムは,「Protection Profile for Mobile Device Management (V2.0以上) 及び Extended Package for Mobile Device Management Agents (V2.0以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。

仮想プライベートネットワーク(VPN)ゲートウェイ

セキュリティ要件【共通要件】

  • 納入する仮想プライベートネットワーク(VPN)ゲートウェイは,「Network Device Protection Profile(NDPP) Extended Package VPN Gateway (V1.1以上) 及び Network Device Protection Profile (v1.1以上)」又は「Extended Package for VPN Gateways (V2.0以上) 及び collaborative Protection Profile for Network Devices (v1.0以上)」と同等以上のセキュリティ要件に適合したCommon Criteria(CC)認証(ISO/IEC 15408)を取得している製品であること。