「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」
政府機関の情報システムにおいて適切に情報セキュリティ対策を講じるためには、情報システムのライフサイクル(企画・設計・開発・運用・廃棄) において、上流の企画段階から情報セキュリティ対策を考慮し、調達仕様にセキュリティ要件を適切に組み込むことが求められます。しかしながら、セキュリティ要件については調達仕様が曖昧になりやすく、その結果セキュリティ対策に過不足が発生することがあります。
こうした問題意識から、平成19年3月に、経験・知見を有する有識者やベンダーを交えて、「情報セキュリティを企画・設計段階から確保するための方策(SBD: Security By Design)に係る検討会」を設置し、検討結果を踏まえ、平成23年3月に初版を策定しました。
平成27年5月には、サプライチェーン・リスク対応についての記載を追記する等の改定を行い、内容の充実を図り、令和4年7月には、関連するドキュメントとの 整合を取るとともに、政府においても利用が拡大しているクラウドサービスの「設計・開発フェーズ」で活用できる、クラウドサービスの基本的なセキュリティ対策の設定 項目等を示した別冊.クラウド設計・開発編の策定も行いました。
なお、SBDマニュアルは政府機関等の職員向けに作成しておりますが、一般の企業においても御利用いただける内容となっておりますので、是非御活用ください。
情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)
SBDマニュアルを構成する文書は以下のとおりです。
本マニュアルは、政府機関における情報システムの調達仕様書に記載する「セキュリティ要件」の策定方法を解説するものです。本マニュアルを活用することで、情報システムの企画段階からセキュリティ対策を適切に組み込むことが可能となります。
付録AからDに関しては、SBDマニュアルを基に調達仕様書に記載する「セキュリティ要件」の策定方法を手助けするためのものです。
SBDマニュアル及び付録を参考に、「セキュリティ要件」を策定するため、本活用ワークシートを使用いたします。
別冊クラウド設計・開発編は、クラウドサービスの特徴に着目したセキュリティ観点の注意事項を整理し、クラウドサービスにおいて設定すべき基本的なセキュリティ対策の項目や実装の指針を示しています。本編は、情報システムライフサイクルの「設計・開発フェーズ」を対象とし、SBDマニュアルで定めたセキュリティ要件に則り、クラウドサービスの基本的設定項目等を示すことで、設計・開発時のセキュリティ対策の実装を支援することを目的としています。
改定履歴
2024年10月08日
「政府機関等のサイバーセキュリティ対策のための統一基準」の改定(令和5年7月)及び「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定(令和6年7月)に伴い、本マニュアルについて所要の見直しを行いました。
2022年7月29日
「政府機関等のサイバーセキュリティ対策のための統一基準」の改定(令和3年7月)及び「デジタル・ガバメント推進標準ガイドライン」の 改定(令和4年4月)に伴い、本マニュアルについて所要の見直しを行いました。
また、クラウドサービスの基本的なセキュリティ対策の設定項目等を示した「別冊.クラウド設計・開発編」の策定も行いました。
2019年9月24日
「政府機関等の情報セキュリティ対策のための統一基準」の改定(平成30年7月)及び「デジタル・ガバメント推進標準ガイドライン」の改定(平成31年2月)に伴い、本マニュアルについても所要の見直しを行いました。
2015年5月21日
平成26年5月に改定された「政府機関の情報セキュリティ対策のための統一基準」に、標的型攻撃等の対応やサプライチェーン・リスクへの対応等をすることが追加・修正されたことに伴い、仕様書記載例及び対策の提案例の最新化や、対策要件にサプライチェーン・リスク対策及び利用者保護を追加しました。
2011年3月30日
初版策定