機器等の調達に係る規定の整備

目的・趣旨

調達する機器等において、必要なセキュリティ機能が装備されていない、当該機器等の製 造過程で不正な変更が加えられている、調達後に情報セキュリティ対策が継続的に行えな いといった場合は、情報システムで取り扱う情報の機密性、完全性及び可用性が損なわれる おそれがある。

これらの課題に対応するため、府省庁対策基準に基づいた機器等の調達を行うべく、機器 等の選定基準及び納入時の確認・検査手続を整備する必要がある。

遵守事項

(1) 機器等の調達に係る規定の整備

(a) 統括情報セキュリティ責任者は、機器等の選定基準を整備すること。必要に応 じて、選定基準の一つとして、機器等の開発等のライフサイクルで不正な変更が 加えられない管理がなされ、その管理を府省庁が確認できることを加えること。

(b) 統括情報セキュリティ責任者は、情報セキュリティ対策の視点を加味して、機 器等の納入時の確認・検査手続を整備すること。

【 基本対策事項 】

＜5.1.2(1)(a)関連＞

5.1.2(1)-1 統括情報セキュリティ責任者は、機器等の選定基準に、サプライチェーン・リ

スクを低減するための要件として、以下を例に規定すること。

a) 調達した機器等に不正な変更が見付かったときに、追跡調査や立入検査等、府 省庁と調達先が連携して原因を調査・排除できる体制を整備していること。

5.1.2(1)-2 統括情報セキュリティ責任者は、調達する機器等において、設計書の検査によ

るセキュリティ機能の適切な実装の確認、開発環境の管理体制の検査、脆弱性テスト 等、第三者による情報セキュリティ機能の客観的な評価を必要とする場合には、

ISO/IEC 15408に基づく認証を取得しているか否かを、調達時の評価項目とするこ

とを機器等の選定基準として定めること。

＜5.1.2(1)(b)関連＞

5.1.2(1)-3 統括情報セキュリティ責任者は、機器等の納入時の確認・検査手続には以下を

含む事項を確認できる手続を定めること。

a) 調達時に指定したセキュリティ要件の実装状況 b) 機器等に不正プログラムが混入していないこと

（解説）

遵守事項5.1.2(1)(a)「機器等の選定基準」について

調達する機器等が、府省庁対策基準の該当項目を満たし、府省庁のセキュリティ水準 を一定以上に保つために、機器等に対して要求すべきセキュリティ要件を府省庁内で

128

統一的に整備することが重要である。また、選定基準は、法令の制定や改正等の外的要 因の変化に対応して適時見直し、機器等の調達に反映することが必要である。

整備する選定基準としては、例えば、開発工程において信頼できる品質保証体制が確 立されていること、設置時や保守時のサポート体制が確立されていること、利用マニュ アル・ガイダンスが適切に整備されていること、脆弱性検査等のテストの実施が確認で きること、ISO 等の国際標準に基づく第三者認証が活用可能な場合は活用すること等 が考えられる。

遵守事項5.1.2(1)(a)「必要に応じて」について

機器等は、取り扱う情報の格付及び取扱制限、利用する組織の特性や利用環境等に応 じて想定されるリスクを考慮して選定する必要があることから、選定基準については、

当該事項の適用要否を判断した上で整備することを求めている。

遵守事項5.1.2(1)(a)「不正な変更」について

ここでいう「不正な変更」とは、機器等の製造工程で不正プログラムを含む予期しな い又は好ましくない特性を組み込むことを意味している。

不正な変更が行われない管理がなされていることとは、例えば、機器等の製造工程に おける不正行為の有無について、定期的な監査を行っていること、機器等の製造環境に アクセス可能な従業員が適切に制限され、定期点検が行われていること等が考えられ る。その他、特に高い信頼性が求められる製品を調達する場合は、各製造工程の履歴が 記録されているなどの厳格な管理されていることが考えられる。

基本対策事項5.1.2(1)-1 a)「原因を調査・排除できる体制」について

OEM（Original Equipment Manufacturer）によって提供される機器等についても、

OEM製品の製造者においても不正な変更が加えられないよう、OEM製品の販売者が 機器等のサプライチェーン全体について適切に管理していることも含めて、要件を定 めることが考えられる。

基本対策事項5.1.2(1)-2「ISO/IEC 15408に基づく認証」について

機器等の調達においては、ISO/IEC 15408 に基づく認証を取得している製品の優遇 を選定基準の一つとすることで、第三者による情報セキュリティ機能の客観的な評価 を受けた製品を活用でき、信頼度の高い情報システムが構築できる。

ISO/IEC 15408に基づく認証では、第三者によって、対抗する脅威に必要な機能が

設計書に反映されていること、その機能が設計どおり実装されていること、開発現場や 製造過程においてセキュリティが侵害される可能性が無いこと、利用マニュアル・ガイ ダンス等にセキュリティを保つための必要事項が明確に示されていること等が客観的 に評価され、評価結果及び既知の情報から懸念される脆弱性についての評定及びテス トが実施される。ただし、第三者によって評価・保証される範囲は、適合するProtection

Profile（国際標準に基づくセキュリティ要件）や、評価保証レベル（EAL：Evaluation

Assurance Level）によって異なるため、どの程度の保証を得ている認証製品であるか を、調達時に確認することが必要となる。

129

基本対策事項5.1.2(1)-3「以下を含む事項を確認できる手続」について

機器等の納入時の確認・検査手続の具体例として、以下の内容が考えられる。

調達時に指定したセキュリティ要件（機器等に最新のセキュリティパッチが適 用されているか否か、不正プログラム対策ソフトウェア等が最新の脆弱性に対 応しているか否か等にも留意）に関する試験実施手順及び試験結果を納品時に 報告させて確認

セキュリティ要件として調達時に指定した機能が正しく動作することを受入れ テストにより確認

内部監査等により不正な変更が加えられていないことを確認した結果を納品時 に報告させて確認

130