わかりやすく解説、情報セキュリティサービス基準適合サービスリストとは

わかりやすく解説、情報セキュリティサービス基準適合サービスリストとは

 デジタル化の進展によって利便性が高まる一方、手口が高度化、巧妙化するサイバー攻撃の脅威が大きな社会問題となっており、攻撃を仕掛けるための手段や、個人情報やパスワードリストなどがアンダーグラウンド市場に流通し、専門的な知識がない者でも、これらを利用して容易に攻撃を行える背景も、脅威を増大させている一因となっている。サイバー攻撃からビジネスを守る手段として、情報セキュリティ事業者が提供するサービスの利用が考えられるが、セキュリティに関する有識者でない限り、情報セキュリティサービスの選定は困難を極めるだろう。

 この事態を重く見た経済産業省は、情報セキュリティサービスの利用者が自社のニーズに近いサービスを容易に選定できるようになることを目標に、独立行政法人情報処理推進機構(以下、IPA)と「情報セキュリティサービス基準適合サービスリスト」を公開した。そこで本記事では、情報セキュリティサービス基準適合サービスリストの概要について解説する。

▼ 目次
1. 情報セキュリティサービス基準適合サービスリストとは 2. 情報セキュリティサービス基準とは 3. 基準に適合した情報セキュリティサービスの一例



1. 情報セキュリティサービス基準適合サービスリストとは

 情報セキュリティサービス基準適合サービスリストとは、経済産業省が策定した「情報セキュリティサービス基準」に適合した情報セキュリティサービスが掲載されているリストである。本リストは、情報セキュリティサービスの利用を検討する企業が、情報セキュリティサービスを安心して活用できるようにする目的で、IPAが公開している。

 情報セキュリティサービスをリストに掲載するにあたっては、審査登録機関である日本セキュリティ監査協会(以下、JASA)による適合性審査を通過する必要があり、適合性が認められた情報セキュリティサービスはJASAの定める登録有効期間のあいだ、IPAによって情報セキュリティサービス基準適合サービスリストに掲載される。

 2021年7月時点においては、下記のサービス分野ごとに情報セキュリティサービスが公開されている。

  • 情報セキュリティ監査サービス
    • 情報セキュリティリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、情報セキュリティ監査を行う主体が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与え又は助言を行うサービス
  • 脆弱性診断サービス
    • システムやソフトウェア等の脆弱性に関する一定の知見を有する者が、下記に該当するサービスを提供する
      • Webアプリケーション脆弱性診断
      • プラットフォーム脆弱性診断
      • スマートフォンアプリケーション脆弱性診断
  • デジタルフォレンジックサービス
    • システムやソフトウェア等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等や法的紛争・訴訟に際し、電磁的記録の証拠保全、調査及び分析を行う
    • 電磁的記録の改ざん及び毀損等についての分析、及び情報収集等を行う一連の科学的調査手法、及び技術に関するサービス
      • 機器や記録デバイスを対象とするデジタルフォレンジックによる調査
      • デジタルフォレンジックによる調査に付帯する訴訟支援及び電子証拠開示対応(eディスカバリ)等のサービス
  • セキュリティ監視、運用サービス
    • システムやソフトウェア等についての情報セキュリティを確保するための監視サービス
    • システムやソフトウェア等を適切に運用するためのサービス
      • セキュリティインシデント又はその予兆の検知、防御を目的としたマネージドセキュリティサービス
      • セキュリティ製品が出力するログの分析、通知、レポートを提供するセキュリティ監視サービス



2. 情報セキュリティサービス基準とは

 情報セキュリティサービス基準は、情報セキュリティサービス業の普及を促進し、国民が情報セキュリティサービスを安心して活用することができる環境を醸成することを目的とした、経済産業省が策定した情報セキュリティサービスを審査するための基準である。

 本基準により、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするものである。ベンダーや民間企業が提供する情報セキュリティサービスの基準適合性については、審査登録機関であるJASAによって公平に審査される。


3. 基準に適合した情報セキュリティサービスの一例

 経済産業省が策定した基準に適合し、情報セキュリティサービス基準適合サービスリストに掲載されたサービスの一例を見てみよう。ここでは、本リストに掲載されている情報セキュリティサービスのなかから、下記を例に挙げて解説する。


3-1. CTC脆弱性診断サービス

 CTCが提供するCTC脆弱性診断サービスは、米国標準技術研究所(NIST)のセキュリティ診断ガイドライン「SP800-115」に準拠したプロセスにて、脆弱性診断ツールと専門知識を有する弊社技術者によるハンドオペレーションを組合せ、セキュリティ脅威のシナリオベースで脆弱性を診断し、診断対象システムの脆弱性を洗い出して影響を分析するサービスだ。

 本サービスの主な特徴は下記の通りである。

  • 豊富な診断実績
    • 直近5年間におけるWEBサイトの診断実績

      • 2021年度に診断した機器 2,800IP、WEBページ 5,000以上
      • 2020年度に診断した機器 2,000IP、WEBページ 5,000以上
      • 2019年度に診断した機器 1,600IP、WEBページ 3,200以上
      • 2018年度に診断した機器 3,000IP、WEBページ 3,700以上
      • 2017年度に診断した機器 1,300IP、WEBページ 6,500以上
  • 総合的なサポート力
    • ネットワークやセキュリティ等の様々な分野の主要ベンダーと強固なパートナーシップを結ぶCTCは、マルチベンダーサポートで培ったノウハウをもとに、診断により明らかになったセキュリティ課題を解決するセキュリティ・ソリューションの提案から、設計、導入、運用保守までを、ワンストップで提供する
    • カスタマイズが可能な独自の脆弱性情報管理サービス(有償)も提供
  • 様々なシステム環境に対応
    • WiFiやIoT機器など固有環境の特性に応じた診断も可能
    • 脆弱性診断に加え、高度なセキュリティ専門知識を必要とする「ペネトレーションテスト」、「設定検査」等も提供可能
  • 最新のサイバーセキュリティ情報を把握し、迅速な対応が可能
    • 国内外の幅広いサイバーセキュリティに関する情報収集により、最新セキュリティ技術や攻撃手法の調査・分析・実務化
    • 脆弱性診断の結果は、最新セキュリティ情報やシステム特性と照らし合わせて分析
    • 診断対象システムの脆弱性の概要および詳細説明と、具体的な改修方法、参考となる脅威情報を記載し、改善に役立つ報告を実施
    • 危険度の高い脆弱性を検出した際は速やかに通知されるため、スピーディな初動対応が可能となる

 CTC脆弱性診断サービスの資料は以下からダウンロードできる。
 サービス紹介資料:CTC脆弱性診断サービスの紹介資料


 脆弱性診断サービスの選び方については以下も参考になろうだろう。選定の考え方だけでなく、脆弱性の診断粒度についてもまとめられているために参考になるはずだ。
 関連記事:失敗しない脆弱性診断サービスの選び方


3-2. プラットフォーム脆弱性診断エクスプレス

 プラットフォーム脆弱性診断エクスプレスは、企業のプラットフォーム全体を診断対象とし、ツールでの診断を主体としながらも、サービスの稼働状況やパッチの適用状況、設定不備など、一般的なプラットフォーム脆弱性診断で求められる診断項目は十分に網羅した診断を短期間、低価格で実施利用いただける脆弱性診断サービスだ。

 各種サーバやネットワーク機器に対し、OSやミドルウェアによるネットワークサービスの設計や設定、稼働バージョンに起因する不正侵入や情報漏えい、サービス不能攻撃に悪用可能な脆弱性を洗い出し、対処策・改善策をわかりやすくまとめた報告書としてご提示する。

 サイバー攻撃を「自ら招き入れない」ためにも、すでに発見されている脆弱性が自社のシステムに内在していないか、それも特定の機器(例えばVPN機器)だけに限定するのではなく、DNS、メール、ディレクトリなどのネットワークを経由してサービスを提供するサーバ、およびルータ、ファイアウォール、VPN装置などのネットワーク機器など、プラットフォーム全体をカバーした調査と、脆弱性は古い製品にも発見されることがあるため、脆弱性診断は継続的・定期的に診断を行う必要がある。

 プラットフォーム脆弱性診断エクスプレス詳細については、以下のページでご確認ください。
 サービス紹介ページ: プラットフォーム脆弱性診断エクスプレス


 サイバー攻撃を未然に防ぐために、第一歩として欠かせないのが、脆弱性を発見して潰しておくこと。具体的な方法と、多くの企業や組織が直面している課題についてまとめられているために参考になるはずだ。
 関連記事: サイバー攻撃の被害回避に不可欠 システムを俯瞰する脆弱性把握の重要性とそこで直面する課題


3-3. Webアプリケーション脆弱性診断エクスプレス

 Webアプリケーション脆弱性診断エクスプレスは、企業のWebサイトの全体を診断対象とし、「Webアプリケーション」の脆弱性の洗い出し・分析結果のご報告から、最適な対策方法の提案までを、最短5日で見積作成、最短10営業日で診断結果を提出するサービスだ。

 サイバー攻撃によるサービス提供の停止や情報流出といったビジネスや社会に影響を及ぼす脅威が増加するなか、定期的に脆弱性診断を受けることにより、Webサイトのセキュリティリスクを明らかにでき、より安全なWebサービスの提供が可能となる。

 Webアプリケーション脆弱性診断エクスプレスの詳細については、以下のページでご確認ください。
 サービス紹介ページ:Webアプリケーション脆弱性診断エクスプレス


 同サービスと一般的なWebアプリケーション脆弱性診断サービスの違いについては以下が参考になるだろう。一般的なWebアプリケーション脆弱性診断の注意点もまとめられているために参考になるはずだ。
 関連記事:Webアプリケーションの脆弱性診断の見落としがちな注意点とは


3-4. CTC-MSS(マネージド・セキュリティ・サービス)

 CTC-MSSは、サイバー攻撃から企業を守るとともに、監視・運用を支援してセキュリティ担当者の負荷を軽減することができるサービスだ。
 
 本サービスの主な特徴は下記の通りである。

  • セキュリティサービス体制
    • CTCの各セキュリティサービスと連携し、企業のニーズに沿ったマネージドセキュリティサービスを提供
  • 24時間365日、セキュリティ機器のログを監視
    • 24時間365日、セキュリティ・オペレーション・センター(SOC)はセキュリティ機器のログを監視
    • セキュリティインシデントの発生時は、豊富な実績と知識を持ったセキュリティアナリストがインシデントを分析
    • 重要度(SLA)に基づいて、電話、メール、ポータルサイトにてインシデント情報を報告
  • インシデントの初動対応を実施
    • 24時間365日、CTCがSOCからのインシデントに対して初動対応(トリアージ)を実施し、運用負担を大幅に軽減
    • セキュリティインシデント発生有無の調査
    • 発生したセキュリティインシデントの緊急度や優先度を判断
    • インシデントへの対応策の検討
  • マルチベンダー対応で機器の監視・管理を一本化
    • CTCが取り扱っている各種セキュリティ製品を中心に幅広くサポート
    • セキュリティ対策製品に熟知した”セキュリティアナリストが機器を監視、管理

 CTC-MSSの詳細については、以下のページでご確認ください。
 サービス紹介ページ:CTC-MSS|セキュリティ管理・監視・運用


さいごに

 本記事では、IPAが公開している情報セキュリティサービス基準適合サービスリストの概要に加え、経済産業省が策定した情報セキュリティサービス基準について簡単に解説した。本取り組みによって、より良い情報セキュリティサービスの可視化、及びサービスの普及を通じた安全性の向上を期待したい。

 マルチベンダーのCTCにおいても、主要なセキュリティベンダーと強固なパートナーシップを結び、脅威から企業のビジネスを守るための最適なセキュリティソリューションの選定を支援している。セキュリティサービスの選定に迷われている企業は是非ともCTCに相談いただきたい。

 尚、情報セキュリティサービス基準適合サービスリストは、以下IPAのホームページでご確認いただける。
 https://www.ipa.go.jp/security/it-service/service_list.html





ご意見・ご要望・ご感想をお聞かせくださいお寄せいただいたご意見を参考に、Webサイトの改善や情報発信に努めて参ります。