情報システムのセキュリティ要件

において必要な対策、情報セキュリティについての機能の設定、情報セキュリ ティについての脅威への対策、並びに情報システムの構成要素についての対策 について定めること。 

解説：本項は、情報システムのセキュリティ要件を満たすために必要な対策を 定めることを求める事項である。省庁対策基準から当該情報システムの セキュリティ対策として実施する遵守事項を選択した上でセキュリティ 要件を満たしているかを検討し、満たしていないセキュリティ要件があ る場合には、その対策も定めることが必要である。

(d) 情報システムセキュリティ責任者は、構築する情報システムに重要なセキュリ ティ要件があると認めた場合には、当該情報システムのセキュリティ機能の設 計について第三者機関によるセキュリティ設計仕様書（ST：Security Target）

の ST 評価・ST 確認を受けること。ただし、情報システムを更改し、又は開発 中に仕様変更が発生した場合であって、見直し後のセキュリティ設計仕様書に おいて重要なセキュリティ要件の変更が軽微であると認めたときは、この限り でない。 

解説：重要なセキュリティ要件がある情報システムについては、セキュリティ 機能が確実に実装されることを目的として、ISO/IEC 15408に基づきセ キュリティ設計仕様書のST評価・ST確認を行うことを求める事項であ る。

「ST 評価・ST確認を受けること」とは、ST評価・ST確認がなされた 状態になることを意味し、具体的な手続としては、申請と確認書入手が なされることである。情報システムの開発が終了するまでにセキュリテ ィ設計仕様書について、ST 評価・ST 確認済みとなっている必要がある が、セキュリティ設計仕様が適切であると判断できた上で設計段階から 開発段階に移るべきであることから、申請行為は設計段階のうちに行わ れていることが通常の手順である。

なお、情報システムの構築を外部委託する場合には、契約時に条件とし て含め納品までにST評価・ST確認を受けさせることになる。

(e) 情報システムセキュリティ責任者は、構築した情報システムを運用段階へ導入 するに当たって、情報セキュリティの観点から実施する導入のための手順及び 環境を定めること。 

解説：情報システムセキュリティ責任者に、セキュリティの観点での試験等の 実施により当該情報システムがセキュリティ要件を満たすことを確認し、

運用段階への導入の方法、体制、作業手順、スケジュール、期間、教育 やトラブル対応について手順を整備することを求める事項である。

【強化遵守事項】

(f) 情報システムセキュリティ責任者は、構築する情報システムに重要なセキュリ ティ要件があると認めた場合には、当該要件に係るセキュリティ機能の設計に 基づいて、製品として調達する機器及びソフトウェアに対して要求するセキュ リティ機能を定め、当該機能及びその他の要求条件を満たす採用候補製品が複

数ある場合には、その中から当該セキュリティ機能に関して IT セキュリティ 評価及び認証制度に基づく認証を取得している製品を情報システムの構成要 素として選択すること。 

解説：情報セキュリティ機能が重要である機器等の購入において、要求する機 能を有する製品に選択肢がある場合、ISO/IEC 15408に基づくITセキュ リティ評価及び認証制度による認証を取得しているものを選択すること を求める事項である。

第三者による情報セキュリティ機能の客観的な評価によって、より信頼 度の高い情報システムの構築が期待できる。

(2) 情報システムの構築・運用・監視 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、情報システムの構築、運用及び監視に際 しては、セキュリティ要件に基づき定めた情報セキュリティ対策を行うこと。 

解説：情報システムのセキュリティ要件に基づき機器等の購入及びソフトウェ ア開発において必要な対策、情報セキュリティについての機能の設定、

情報セキュリティについての脅威への対策、並びに情報システムについ ての対策を実施し、情報システムを構築、運用及び監視することを求め る事項である。

(3) 情報システムの移行・廃棄 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、情報システムの移行及び廃棄を行う場合 は、情報の消去及び保存、並びに情報システムの廃棄及び再利用について必要 性を検討し、それぞれについて適切な措置を講ずること。 

解説：情報システムの移行及び廃棄を行う場合に、情報システムを構成する機 器の扱い、情報の格付け等を考慮して、機器及び情報に関して廃棄、保 存、消去等の適切な措置を講ずることを求める事項である。

(4) 情報システムの見直し 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、情報システムの情報セキュリティ対策に ついて見直しを行う必要性の有無を適時検討し、必要があると認めた場合には その見直しを行い、必要な措置を講ずること。 

解説：情報システムの情報セキュリティ対策について、必要に応じて見直しと それに必要な措置を求める事項である。見直しを行う時期は、新たなセ キュリティ脅威の出現、運用、監視等の状況により判断する必要がある。

(5) 情報システムの台帳整備 

【基本遵守事項】

(a) 情報システムセキュリティ責任者は、情報システムを新規に構築し、又は更改 する際には、当該情報システムで取り扱う情報及び当該情報の格付けを含む事 項を統括情報セキュリティ責任者に報告すること。 

解説：情報システムのセキュリティ要件の決定に際し、当該情報システムで取 り扱う情報及び当該情報の格付けを含む事項を、統括情報セキュリティ 責任者に報告することを求める事項である。

(b) 統括情報セキュリティ責任者は、すべての情報システムに対して、当該情報シ ステムで取り扱う情報及び当該情報の格付けを含む事項を記載した台帳を整 備すること。 

解説：自府省庁でどのような情報システムを保有し、当該情報システムで取り 扱う情報やその格付けを把握して一元管理することは、日常的な運用管 理や障害等発生時における対処を適正に実施する上での前提となる。情 報システムの台帳に記載する項目としては、当該情報システムが取り扱 うことを許可する情報の格付けのほか、利用目的、利用者数、外部ネッ トワークとの接続の有無等が考えられる。

既に情報システムの台帳が整備されており統括情報セキュリティ責任者 が利用可能な場合には、当該台帳に情報システムが取り扱うことを許可 する情報の格付け等を追記しても良い。

なお、情報システムは、業務内容や運用形態等により、端末 1 台で１つ の情報システムを構成する場合もあれば、複数の端末、サーバ装置、通 信回線等で１つの情報システムを構成する場合もある。情報システムの 台帳には、そのような構成単位ごとに取り扱う情報とその格付けを記載 することになる。その際、情報システムで取り扱う情報のうち、同様に 取り扱われる情報については、類型化した上で格付けを記載すると効率 的である。