経済産業省 「機器検証サービス」を追加した「情報セキュリティサービス基準第3版」を公表
1.背景
経済産業省では、情報セキュリティサービスの利用者が当該サービスを安心して利用ができ、調達時に参照できるような仕組みの提供を目的として、「情報セキュリティサービス基準」及び「情報セキュリティサービスに関する審査登録機関基準」を平成30年2月に公表した。
当該基準は初版公表から5年以上が経過、また令和4年1月には第2版を公表し、一定の企業において活用されてきているところ、当該基準に基づく情報セキュリティサービス審査登録制度のより一層の普及を図るべく、「情報セキュリティサービス普及促進に関する検討会」を開催し、「情報セキュリティサービス基準」の改訂を検討した。経済産業省において、検討会における有識者やパブリックコメントでのご意見等を踏まえて、現行の「情報セキュリティサービス」4サービス(情報セキュリティ監査サービス、脆弱性診断サービス、デジタルフォレンジックサービス及びセキュリティ監視・運用サービス)に、「機器検証サービス」を追加した「情報セキュリティサービス基準」の第3版を公表することとした。
2.「情報セキュリティサービス基準」の改訂の概要
「情報セキュリティサービス」に、IoT機器をはじめとするネットワーク通信機能を持つ機器及びその機器に対してネットワークを通じて操作・管理・データ処理等を行うアプリケーションから構成されるシステム(IoTシステム)に対して行う、機器検証、Webアプリケーション脆弱性診断、プラットフォーム脆弱性診断のサービスを「機器検証サービス」として追加した。「機器検証サービス」の登録申請の募集は、2023年度第3回(9月目処)から開始予定。また、「機器検証サービス」の追加に伴い、「情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示」も第2版を公表した。
