English
National center of Incident readiness and Strategy for Cybersecurity内閣サイバーセキュリティセンター

(首相官邸Webサイトの検索システムを利用しています)

HOME > 活動内容 > 政府機関総合対策グループ > 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について

「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」の策定について

平成27年5月22日
内閣サイバーセキュリティセンター(NISC)

  平成23年3月公表した「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」(情報セキュリティを企画・設計段階から確保するための方策(SBD: Security By Design)に係る検討会)(座長:山岡克式・東京工業大学大学院理工学研究科准教授)ですが、平成26年5月に改訂された「政府機関の情報セキュリティ対策のための統一基準」に伴い改定いたしましたので、お知らせいたします。


(1) 策定の背景
  政府機関の情報システムにおいて適切に情報セキュリティ対策を講じるためには、情報システムのライフサイクル(企画・設計・開発・運用・廃棄) において、上流の企画段階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むことが求められます。しかしながら、 セキュリティ要件は曖昧、過不足な調達となりやすく、システムの特性に応じた調達となるよう注意が必要です。
  こうした問題意識から、平成19年3月に、経験・知見を有する有識者やベンダーを交えて、「情報セキュリティを企画・設計段階から確保するため の方策(SBD: Security By Design)に係る検討会」を設置し、検討を開始しました。

(2) 課題の抽出と解決策
  上記検討会での議論において、調達仕様におけるセキュリティ要件の曖昧さや過不足は調達側と供給側の相互理解と合意形成を阻害し、調達側と 供給側の双方に不利益を発生させる要因となることが確認されました。調達仕様におけるセキュリティ要件の曖昧さや過不足の発生は、特に仕様を作成する 調達側の政府職員の情報セキュリティに対する知見に依存し、「不公平な調達」、「過度なセキュリティ対策」、運用開始後の「セキュリティ事故」を招かない ようにする必要があります。
  こうした課題を解決するために、情報システムの調達において調達側である政府職員がシステムの調達仕様書を作成するにあたり、必要な情報 セキュリティ要件を定型化された作業によって導出できるよう支援するマニュアルを策定しました。また、本マニュアルを供給側である民間事業者等も活用 することで、システムのセキュリティ対策が相互により明確化されます。現状、全府省庁で約2000存在する政府情報システム全体の適切な情報セキュリティ 対策につながっていくものと期待できます。

(3) 平成27年5月の改定について
  「政府機関の情報セキュリティ対策のための統一基準」が平成26年5月に改定されました。統一基準の改定の内容については、各省庁におけるPDCAサイクルの見直しや記載ぶりの変更などの統一基準群の実効性の向上や新たな脅威・技術への対応として、標的型攻撃などの対応やサプライチェーン・リスクへの対応などをすることが追加・修正されたことに伴い、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」についても仕様書記載例及び対策の提案例の最新化やサプライチェーン・リスク対策及び利用者保護を新規に追加いたしました。

(4) 成果物
  • 情報システムに係る政府調達におけるセキュリティ要件策定マニュアル
    • 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」PDF
    • 「同 マニュアル 付録A.対策要件集」PDF
    • 「同 マニュアル 付録B.政府機関統一基準群対応表」PDF
    • 「同 マニュアル 付録C.マニュアル活用例」PDF
    • 「同 マニュアル 付録D.用語解説」PDF
      • 「同 マニュアル活用ワークシート」(MS-Excel形式)
      • 「同 マニュアル活用ワークシート」(活用例)PDF
  • 「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」概要PDF
  • 情報セキュリティを企画・設計段階から確保するための方策に係る検討会 報告書PDF


HOME
報道発表資料等
内閣サイバーセキュリティ センター(NISC)とは
活動内容
基本戦略グループ
国際戦略グループ
政府機関総合対策グループ
情報統括グループ
重要インフラグループ
事案対処分析グループ
会議
調査研究
主要公表資料
広報活動
関連サイト
関連法令等
リンクと著作権について
(C) 2015 National center of Incident readiness and Strategy for Cybersecurity サイトマップ ご意見・ご感想はこちらまで