セキュリティの
学び場

情報セキュリティサービス基準

「情報セキュリティサービス基準」は脆弱性診断や監査等の情報セキュリティサービスを必要とする利用者が安心してサービスを選定できるよう定めた「サービス基準」とそれに従った審査制度です。

この制度の運用以前は基本的にはセキュリティベンダーのサービス紹介など、「そのサービスが適切か」の判断基準は極めて限定されていました。 この制度を通してサービス選定をすることで「情報セキュリティサービス基準を満たしたサービス」を容易に判断できます。

対象となるサービス

この基準では以下の4つの領域について、サービス基準を設け、審査に適合したサービスをリスト化しています。

• 情報セキュリティ監査
• 脆弱性診断
• • Webアプリケーション脆弱性診断
  • プラットフォーム脆弱性診断
  • スマートフォンアプリケーション脆弱性診断
  • その他システムへの脆弱性診断
• デジタルフォレンジック
• セキュリティ監視・運用

2022年9月時点で「脆弱性診断サービス」だけでも100件以上のサービスが登録されており、 多くの情報セキュリティベンダーがこの制度に参加しています。

これらのリストを確認することで選定中のベンダーとそのサービスが「一定の基準を満たしたサービスか」を容易に確認できます。

制度と審査

この制度は以下のような立て付けで運用されています。

• 経済産業省
• • 「情報セキュリティサービス基準」を策定・公開する
• 審査登録機関
• • ベンダー からの申請を受けて「審査」をする
  • リスト掲載サービスを対象にサービス状況や品質を評価する（サーベイランス）
• 情報処理推進機構（IPA）
• • 「審査登録機関」の結果に基づき、適合サービスのリストを公開する
• サービス提供会社（セキュリティ ベンダー）
• • 「情報セキュリティサービス」を提供する
  • 審査登録機関へ審査申請をする
  • 審査料と登録料の支払いを通じて制度を維持する
• エンドユーザ
• • IPAが公開する「適合サービスリスト」を利用してサービス選定をする
  • 提供されたサービス内容や品質に疑義がある場合に「審査登録機関」へ報告をする

このように、基準を策定（経済産業省）し、その基準に基づき審査（審査登録機関）し、審査結果を公開（IPA）する機関により、 この制度は運用されています。 また、セキュリティベンダーはこの制度により、自身のサービスが一定の基準を満たすことを示すことができ、 エンドユーザは適合サービスリストを利用して一定の基準を満たすサービスを選定することができます。

この審査は基本的には2年毎に行われますが、サンプリングでセキュリティベンダーに運用状況をヒアリングしたり、 エンドユーザからの報告を受けてサーベイランス（申請されたサービスが適切な品質で提供されているかの調査）が行われます。

おわりに

「情報セキュリティサービス基準」と「適合サービスリスト」は セキュリティ対策 やインシデント対応等でのサービス選定基準の一つとして役に立ちます。

ただし、同種のセキュリティサービスでもベンダー毎に参照する観点（OWASP ASVS/Top10等）や特色（ソフトウェアテストとしての網羅性を重視 / ホワイトハッカーによる特定領域への特化 等）に違いがあります。

このため、「適合サービスリスト」と合わせて、これらの特徴を確認し、案件に応じた適切なサービスを選定することが重要です。