情報セキュリティ

セキュアな製品調達のために

IT製品の調達者が、よりセキュアなIT製品を選択する場合の、セキュリティ評価や認証製品を活用いただくための情報を掲載しています。

特に政府のIT製品調達では、サイバーセキュリティ戦略本部で決定された「政府機関等のサイバーセキュリティ対策のための統一基準」(以下「政府統一基準」という)」においてIoT機器を含む特定用途機器や、経済産業省から発表されている「IT製品の調達におけるセキュリティ要件リスト」(以下「セキュリティ要件リスト」という。)で指定された、製品分野のセキュリティ要件を特定し対応することが調達者に義務付けられています。

チェックリストの活用 (特定用途機器のセキュリティ確認)

IPAでは、ネットワークカメラシステムや入退管理システムといったIoTシステムをセキュアに構築する際に、利用者が確認すべき運用面や機器選定に係る機能面のポイントが解るチェックリストを公開しています。
調達者は、それぞれのチェックリストに従うことにより、想定される脅威に対抗することができます。

セキュリティチェックリスト

  • ネットワークカメラシステム
  • 入退管理システム
  • テレビ会議システム(準備中)
  • IP電話システム(準備中)
  • 施設管理システム(準備中)
  • 環境モニタリングシステム(準備中)

政府統一基準では、セキュリティチェックリストのシステムにおいて脅威が存在する場合には対策を講ずることが義務付けられており、チェックリストが参照されています。
チェックリストを活用することにより、具体的な対策を講ずることができます。

認証製品の活用 (セキュリティ要件リスト指定製品のセキュリティ確認)

政府の情報システムを構築する際は、セキュリティ上の脅威とそれに対抗するセキュリティ要件を明確にすることが「政府統一基準」で義務付けられています。
特に、政府機関の情報システムの構成要素として適切なセキュリティ対策が必要とされる「セキュリティ要件リスト」に記載された次の11分野の製品に関しては、認証製品を調達要件とすることで、この義務を果たすことができます。
該当する製品を調達する際、下記のサンプルを参照し、セキュリティ要件リストに記載された「国際基準に基づくセキュリティ要件」を調達仕様に記載してください。

  • デジタル複合機
  • ファイアウォール
  • 不正侵入検知/防止システム(IDS/IPS)
  • サーバOS
  • データベース管理システム(DBMS)
  • スマートカード(ICカード)
  • 暗号化USBメモリ
  • ルータ/レイヤ3スイッチ
  • ドライブ全体暗号化システム
  • モバイル端末管理システム
  • 仮想プライベートネットワーク(VPN)ゲートウェイ

認証製品の活用

IT製品の調達や利用において、認証製品の持つ意義と公開情報の活用の仕方について解説しています。

認証報告書を読んでみる

認証を取得した製品の公開情報である認証報告書について、その構成に従って内容を解説しています。認証報告書には、利用者が利用目的に合致した認証製品を選択するための情報が記載されています。

セキュリティ機能と保証レベル

セキュリティ機能が正確に実装されていることを確認する要件(保証要件)と、その要件をどのレベルまで確認すべきか(評価保証レベル)というCCの考え方について説明しています。IT製品の調達や認証製品の利用において、セキュリティ評価の保証範囲を理解することは大変重要です。