ホームIT情報セキュリティサービス基準と審査登録制度

IT Insight

情報セキュリティサービス基準と審査登録制度

レンテックインサイト編集部

IT Insight 情報セキュリティサービス基準と審査登録制度

企業が情報セキュリティサービスの導入を検討する際に、「情報セキュリティサービス基準」が役立ちます。この基準は経済産業省が2018年に設けたものであり、直近では2022年1月に改訂されました。本記事では、情報セキュリティサービス基準とそれに基づく審査登録制度について解説します。

情報セキュリティサービス基準とは?

情報セキュリティサービス基準は、情報セキュリティサービスに関する一定の技術要件や品質管理要件を示し、品質の維持・向上に努めているサービスを明らかにするための基準です。

昨今ではサイバー攻撃の脅威が増しており、大手・中小を問わず企業がターゲットになっています。企業は十分なセキュリティ対策を行うために、ウイルス対策ソフトなどのセキュリティ製品を導入するのはもちろん、情報セキュリティサービスの利用も検討しなければなりません。

しかし、専門知識を持たない企業が情報セキュリティサービスの品質を正しく判断するのは容易ではありません。数多く存在する情報セキュリティサービスの中から、良質かつ自社に合ったサービスを選定するのは難しく、必要性を感じながらも導入に至っていない企業は多いようです。

こういった状況を受けて、経済産業省が設けたのが情報セキュリティサービス基準です。情報セキュリティサービスの利用者が当該サービスを安心して利用でき、調達時に参照できる仕組みとして、2018年2月に公表されました。その後、本基準とそれに基づく情報セキュリティサービス審査登録制度のより一層の普及を図る目的で、2022年4月に改訂版が公表されています。

四つの情報セキュリティサービス

情報セキュリティサービス基準では、情報セキュリティサービスを大きく四つに分類しており、それぞれで技術要件や品質管理要件を定めています。

情報セキュリティ監査サービス

情報セキュリティのリスクマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を保証したり、助言を行ったりするサービスです。サービス提供者は、独立かつ専門的な立場から、国際的にも整合性の取れた基準に従って利用者の情報セキュリティを検証・評価します。

脆弱性診断サービス

システムやソフトウエアの脆弱性に関する一定の知見を有するサービス提供者が、Webアプリケーション脆弱性診断、プラットフォーム脆弱性診断、スマートフォンアプリケーション脆弱性診断のいずれかまたはすべてを行うサービスです。

デジタルフォレンジックサービス

フォレンジックは法科学や鑑識といった意味の言葉であり、法的紛争や訴訟に際して電磁的記録の証拠保全・調査・分析を行ったり、電磁的記録の改ざんや毀損についての分析や情報収集を行ったりするサービスを指します。具体的には、機器や記録デバイスを対象とするデジタルフォレンジックによる調査、デジタルフォレンジックによる調査に付帯する訴訟支援・電子証拠開示対応(eディスカバリ)といったサービスが該当します。

セキュリティ監視・運用サービス

システムやソフトウエアにおける情報セキュリティを確保するための監視サービスや適切な運用を支援するサービスです。セキュリティインシデントやその予兆の検知・防御を行うマネージドセキュリティサービス、セキュリティ製品が出力するログの分析・通知・レポート提供を行うセキュリティ監視サービスなどが該当します。

情報セキュリティサービスに関する審査登録機関基準第2版|経済産業省

IT Insight 情報セキュリティサービス基準と審査登録制度

審査登録制度とは?

経済産業省は、情報セキュリティサービス基準を設けるだけでなく、基準を満たしたサービスを登録・公開する審査登録制度も設立しています。この制度は、審査登録機関による審査を受けて合格すると、IPA(独立行政法人情報処理推進機構)が管理する「情報セキュリティサービス基準適合サービスリスト」上で公開されるという仕組みです。

情報セキュリティサービス基準適合サービスリストには、次のような情報が掲載されています。

  • サービス名称
  • サービス紹介ページのURL
  • 事業者の名称・所在地
  • サービスの概要
  • 対象とする顧客の分野・業種
  • 対象地域
  • 登録年月日・有効期限
  • 審査登録機関名

情報セキュリティサービスを利用したい企業は、信頼できるサービスを選ぶ際に情報セキュリティサービス基準適合サービスリストを活用できます。リストは、上述した四つのサービス分類ごとに公開されているので、自社のニーズに合ったサービスを選びやすくなるでしょう。

情報セキュリティサービスの選定で悩んだ際に活用しましょう

サイバー攻撃の脅威を感じていても、自社にノウハウがないため、良質な情報セキュリティサービスを選定できないと悩んでいる方は多いのではないでしょうか。

サービスの選定で悩んだ際には、本記事でご紹介した情報セキュリティサービス基準と審査登録制度が役に立ちます。直近の改訂によってより一層の普及が図られており、これからの日本における標準となっていく可能性もゼロではありません。今後、情報セキュリティサービスの導入を検討する際には、基準適合サービスも参考にしてみてください。

IT Insightの他記事もご覧ください

Prev

Next