わかりやすく解説、情報セキュリティサービス基準適合サービスリストとは

わかりやすく解説、情報セキュリティサービス基準適合サービスリストとは

 デジタル化の進展によって利便性が高まる一方、手口が高度化、巧妙化するサイバー攻撃の脅威が大きな社会問題となっている。

 攻撃を仕掛けるための手段や、個人情報やパスワードリストなどがアンダーグラウンド市場に流通し、専門的な知識がない者でも、これらを利用して容易に攻撃を行える背景も、脅威を増大させている一因となっている。

 サイバー攻撃からビジネスを守る手段として、情報セキュリティ事業者が提供するサービスの利用が考えられるが、セキュリティに関する有識者でない限り、情報セキュリティサービスの選定は困難を極めるだろう。

 この事態を重く見た経済産業省は、情報セキュリティサービスの利用者が自社のニーズに近いサービスを容易に選定できるようになることを目標に、独立行政法人情報処理推進機構(以下、IPA)と「情報セキュリティサービス基準適合サービスリスト」を公開した。

 そこで本記事では、情報セキュリティサービス基準適合サービスリストの概要について解説する。



▼ 目次
情報セキュリティサービス基準適合サービスリストとは
情報セキュリティサービス基準とは
基準に適合した情報セキュリティサービスの一例






1. 情報セキュリティサービス基準適合サービスリストとは

 情報セキュリティサービス基準適合サービスリストとは、経済産業省が策定した「情報セキュリティサービス基準」に適合した情報セキュリティサービスが掲載されているリストである。

 本リストは、情報セキュリティサービスの利用を検討する企業が、情報セキュリティサービスを安心して活用できるようにする目的で、IPAが公開している。

 情報セキュリティサービスをリストに掲載するにあたっては、審査登録機関である日本セキュリティ監査協会(以下、JASA)による適合性審査を通過する必要があり、適合性が認められた情報セキュリティサービスはJASAの定める登録有効期間のあいだ、IPAによって情報セキュリティサービス基準適合サービスリストに掲載される。


 2021年7月時点においては、下記のサービス分野ごとに情報セキュリティサービスが公開されている。

  • 情報セキュリティ監査サービス
    • 情報セキュリティリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、情報セキュリティ監査を行う主体が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与え又は助言を行うサービス
  • 脆弱性診断サービス
    • システムやソフトウェア等の脆弱性に関する一定の知見を有する者が、下記に該当するサービスを提供する
      • Webアプリケーション脆弱性診断
      • プラットフォーム脆弱性診断
      • スマートフォンアプリケーション脆弱性診断
  • デジタルフォレンジックサービス
    • システムやソフトウェア等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等や法的紛争・訴訟に際し、電磁的記録の証拠保全、調査及び分析を行う
    • 電磁的記録の改ざん及び毀損等についての分析、及び情報収集等を行う一連の科学的調査手法、及び技術に関するサービス
      • 機器や記録デバイスを対象とするデジタルフォレンジックによる調査
      • デジタルフォレンジックによる調査に付帯する訴訟支援及び電子証拠開示対応(eディスカバリ)等のサービス
  • セキュリティ監視、運用サービス
    • システムやソフトウェア等についての情報セキュリティを確保するための監視サービス
    • システムやソフトウェア等を適切に運用するためのサービス
      • セキュリティインシデント又はその予兆の検知、防御を目的としたマネージドセキュリティサービス
      • セキュリティ製品が出力するログの分析、通知、レポートを提供するセキュリティ監視サービス






2. 情報セキュリティサービス基準とは

 情報セキュリティサービス基準は、情報セキュリティサービス業の普及を促進し、国民が情報セキュリティサービスを安心して活用することができる環境を醸成することを目的とした、経済産業省が策定した情報セキュリティサービスを審査するための基準である。

 本基準により、情報セキュリティサービスに関する一定の技術要件及び品質管理要件を示し、品質の維持・向上に努めている情報セキュリティサービスを明らかにするものである。

 ベンダーや民間企業が提供する情報セキュリティサービスの基準適合性については、審査登録機関であるJASAによって公平に審査される。






3. 基準に適合した情報セキュリティサービスの一例

 経済産業省が策定した基準に適合し、情報セキュリティサービス基準適合サービスリストに掲載されたサービスの一例を見てみよう。ここでは、本リストに掲載されている情報セキュリティサービスのなかから、下記を例に挙げて解説する。



4-1. CTC脆弱性診断サービス

 伊藤忠テクノソリューションズ(以下、CTC)が提供するCTC脆弱性診断サービスは、米国標準技術研究所(NIST)のセキュリティ診断ガイドライン「SP800-115」に準拠したプロセスにて、脆弱性診断ツールと専門知識を有する弊社技術者によるハンドオペレーションを組合せ、セキュリティ脅威のシナリオベースで脆弱性を診断し、診断対象システムの脆弱性を洗い出して影響を分析するサービスだ。

 本サービスの主な特徴は下記の通りである。

  • 豊富な診断実績
    • 直近4年間におけるWEBサイトの診断実績

      • 2019 年度に診断した WEB ページは 3,200 以上
      • 2018 年度に診断した WEB ページは 3,700 以上
      • 2017 年度に診断した WEB ページは 6,500 以上
      • 2016 年度に診断した WEB ページは 5,700 以上
  • 総合的なサポート力
    • ネットワークやセキュリティ等の様々な分野の主要ベンダーと強固なパートナーシップを結ぶCTCは、マルチベンダーサポートで培ったノウハウをもとに、診断により明らかになったセキュリティ課題を解決するセキュリティ・ソリューションの提案から、設計、導入、運用保守までを、ワンストップで提供する
    • カスタマイズが可能な独自の脆弱性情報管理サービス(有償)も提供
  • 様々なシステム環境に対応
    • WiFiやIoT機器など固有環境の特性に応じた診断も可能
    • 脆弱性診断に加え、高度なセキュリティ専門知識を必要とする「ペネトレーションテスト」、「設定検査」等も提供可能
  • 最新のサイバーセキュリティ情報を把握し、迅速な対応が可能
    • 国内外の幅広いサイバーセキュリティに関する情報収集により、最新セキュリティ技術や攻撃手法の調査・分析・実務化
    • 脆弱性診断の結果は、最新セキュリティ情報やシステム特性と照らし合わせて分析
    • 診断対象システムの脆弱性の概要および詳細説明と、具体的な改修方法、参考となる脅威情報を記載し、改善に役立つ報告を実施
    • 危険度の高い脆弱性を検出した際は速やかに通知されるため、スピーディな初動対応が可能となる



 CTC脆弱性診断サービスの詳細については、以下よりご欄いただくことができる。



関連記事を読む




 脆弱性診断サービスの選び方については以下も参考になろうだろう。選定の考え方だけでなく、脆弱性の診断粒度についてもまとめられているために参考になるはずだ。



関連記事を読む





4-2. CTC-MSS

 総合セキュリティ・マネージド・サービスであるCTC-MSSは、サイバー攻撃から企業を守るとともに、監視・運用を支援してセキュリティ担当者の負荷を軽減することができるサービスだ。

 本サービスの主な特徴は下記の通りである。

  • セキュリティサービス体制
    • CTC-MSSは、CTCの各セキュリティサービスと連携し、企業のニーズに沿ったマネージドセキュリティサービスを提供する
  • 24時間365日、セキュリティ機器のログを監視
    • 24時間365日、セキュリティ・オペレーション・センター(SOC)はセキュリティ機器のログを監視
    • セキュリティインシデントの発生時は、豊富な実績と知識を持ったセキュリティアナリストがインシデントを分析
    • 重要度(SLA)に基づいて、電話、メール、ポータルサイトにてインシデント情報を報告
  • インシデントの初動対応を実施
    • 24時間365日、CTCがSOCからのインシデントに対して初動対応(トリアージ)を実施し、運用負担を大幅に軽減
    • セキュリティインシデント発生有無の調査
    • 発生したセキュリティインシデントの緊急度や優先度を判断
    • インシデントへの対応策の検討
  • マルチベンダー対応で機器の監視・管理を一本化
    • CTCが取り扱っている各種セキュリティ製品を中心に幅広くサポート
    • セキュリティ対策製品に熟知した"セキュリティアナリストが機器を監視、管理



 CTC-MSSの概要は以下の動画からご覧いただくことができる。

 

CTC-MSS
(画像をクリックすると、YouTube動画が再生されます)



 CTC-MSSの詳細については、以下よりご覧いただきたい。



関連記事を読む







さいごに

 本記事では、IPAが公開している情報セキュリティサービス基準適合サービスリストの概要に加え、経済産業省が策定した情報セキュリティサービス基準について簡単に解説した。本取り組みによって、より良い情報セキュリティサービスの可視化、及びサービスの普及を通じた安全性の向上を期待したい。

 マルチベンダーのCTCにおいても、主要なセキュリティベンダーと強固なパートナーシップを結び、脅威から企業のビジネスを守るための最適なセキュリティソリューションの選定を支援している。セキュリティサービスの選定に迷われている企業は是非ともCTCに相談いただきたい。



 尚、情報セキュリティサービス基準適合サービスリストは、以下よりご覧いただくことができる。


関連記事を読む





メルマガ配信のご登録はこちらから関連するセミナーやお役立ち情報をメルマガ配信します



関連記事はこちら