アプリケーション・コンテンツの作成・提供

191

192

出したりすることは避けなければならない。政府機関は、国民等の府省庁外の情報セキ ュリティ水準を低下させないように留意して、行政サービスのためのアプリケーショ ン・コンテンツを提供する必要がある。

遵守事項6.3.1(1)(a)「規定を整備」について

統括情報セキュリティ責任者は、アプリケーション・コンテンツの提供に関する規定 の整備に当たり、遵守事項6.3.1(2)において規定した事項を含める必要がある。

193 遵守事項

(2) アプリケーション・コンテンツのセキュリティ要件の策定

(a) 情報システムセキュリティ責任者は、府省庁外の情報システム利用者の情報セ キュリティ水準の低下を招かぬよう、アプリケーション・コンテンツについて以 下の内容を仕様に含めること。

(ア) 提供するアプリケーション・コンテンツが不正プログラムを含まないこ と。

(イ) 提供するアプリケーションが脆弱性を含まないこと。

(ウ) 実行プログラムの形式以外にコンテンツを提供する手段がない限り、実 行プログラムの形式でコンテンツを提供しないこと。

(エ) 電子証明書を利用するなど、提供するアプリケーション・コンテンツの 改ざん等がなく真正なものであることを確認できる手段がある場合には、

それをアプリケーション・コンテンツの提供先に与えること。

(オ) 提供するアプリケーション・コンテンツの利用時に、脆弱性が存在する バージョンの OS やソフトウェア等の利用を強制するなどの情報セキュリ ティ水準を低下させる設定変更を、OS やソフトウェア等の利用者に要求 することがないよう、アプリケーション・コンテンツの提供方式を定めて 開発すること。

(カ) サービス利用に当たって必須ではない、サービス利用者その他の者に関 する情報が本人の意思に反して第三者に提供されるなどの機能がアプリケ ーション・コンテンツに組み込まれることがないよう開発すること。

(b) 行政事務従事者は、アプリケーション・コンテンツの開発・作成を外部委託す る場合において、前号に掲げる内容を調達仕様に含めること。

【 基本対策事項 】

＜6.3.1(2)(a)(ア)関連＞

6.3.1(2)-1 情報システムセキュリティ責任者は、提供するアプリケーション・コンテンツ

が不正プログラムを含まないことを確認するために、以下を含む対策を行うこと。

a) アプリケーション・コンテンツを提供する前に、不正プログラム対策ソフトウ ェアを用いてスキャンを行い、不正プログラムが含まれていないことを確認 すること。

b) 外部委託により作成したアプリケーションプログラムを提供する場合には、

委託先事業者に、当該アプリケーションの仕様に反するプログラムコードが 含まれていないことを確認させること。

＜6.3.1(2)(a)(ア)(カ)関連＞

6.3.1(2)-2 情報システムセキュリティ責任者は、提供するアプリケーション・コンテンツ

において、府省庁外のウェブサイト等のサーバへ自動的にアクセスが発生する機能 が仕様に反して組み込まれていないことを、HTMLソースを表示させるなどして確 認すること。必要があって当該機能を含める場合は、当該府省庁外へのアクセスが