情報セキュリティサービスを提供する事業者の方々へ

  1. サービス台帳に登録するメリット
  2. 登録対象となるサービスや事業
  3. サービス台帳への登録基準
  4. 例示相当として認められている資格やツール
  5. 審査・登録期間、有効期間
  6. 審査料と登録料
  7. 登録申請手続き
  8. サービス台帳への掲載内容
  9. IPAの情報セキュリティサービス基準適合サービスリストとの関係

【よくあるご質問では以下の略語を用いています】
サービス基準:情報セキュリティサービス基準
審査登録制度:情報セキュリティサービス審査登録制度

1.サービス台帳に登録するメリット

Q1-1:

サービス台帳に登録するメリットはありますか?

A1-1:

本制度の目的である「一定の品質を保っている情報セキュリティサービス」であることを公に認められ、当協会の審査の結果適合とされたサービスは独立行政法人情報処理推進機構の情報セキュリティサービス基準適合サービスリストに掲載されます。
現在(2020年6月30日)下記の制度において、情報セキュリティサービス基準適合サービスリストに掲載されたサービスが、公共事業の採択条件になること等が示されています。

 

(1)政府調達
政府機関等の情報セキュリティ対策のための統一基準群に基づき、各省庁が採用する情報セキュリティ監査サービスとして、情報セキュリティサービス基準適合サービスリストに記載されているものが推奨されています。
(出典)「政府機関等の対策基準策定のためのガイドライン」 76ページ

 

(2)地方公共団体調達
地方公共団体が行う情報セキュリティ監査の実施組織に対する資格要件として、情報セキュリティサービス基準適合サービスリスト記載サービスが推奨されています。
(出典)地方公共団体における 情報セキュリティ監査に関する ガイドライン(平成 30 年 9 月版)

 

(注)IT導入補助金(2018年11月27日で登録終了)
すでに終了した制度ですが、ITツール登録対象として、「情報セキュリティサービス基準適合サービスリスト」を参照することが望ましい。」と記載されました。

 

2.登録対象となるサービスや事業

Q2-1:

登録の対象は、情報セキュリティ監査サービス、脆弱性診断サービス、デジタルフォレンジックサービス、セキュリティ監視運用サービスの4サービスですが、このうち1つ(例えば脆弱性診断サービスのみ)しかサービス提供していない場合、その1つのサービスだけで審査を受けられ、台帳に登録されるということでよろしいでしょうか。

A2-1:

審査登録はサービス単位で行いますので、1つのサービスだけで申請可能です。

Q2-2:

対象のサービス種類を追加する予定はありますか?

A2-2:

現在のところ、新たにサービスの種類を追加する予定はありません。将来、審査登録制度の運営が順調に進み、社会的なニーズが高まってきた場合には、新たなサービスの追加を検討してまいります。

Q2-3:

特定のお客様向けに個別にシステムを構築し、保守運用と合わせてセキュリティ監視・運用サービスを提供している場合でも審査登録の対象になるでしょうか?

A2-3:

独立したサービスメニューとして提供しておらず、システム運用保守の附随サービスとしてのみ提供しているのであれば、対象外です。

Q2-4:

当社は数人で情報セキュリティサービスを開始して日も浅い事業者です。登録されたサービスを見ると著名な企業のサービスが並んでいますが、まだヨチヨチ歩きで名も知られていない小企業のサービスでも登録されるのでしょうか?

A2-4:

本制度では、事業規模の大小や知名度の有無を問いません。基準を満たしていれば、事業規模にかかわらずサービス台帳に登録いたします。確かな品質のサービスを提供されている方が社会的に認知度を高める手段としてご活用ください。

Q2-5:

私は個人事業主として、情報セキュリティサービスを提供しています。提供しているサービスの品質については、基準を満たしていると考えますが、個人事業主でもこの制度の申請登録はできるのでしょうか?

A2-5:

個人事業主の方々の申請を歓迎しています。情報セキュリティサービスは、個人やベンチャー企業など多数の方々が技術力の高いサービスを提供しているので、これらの個人事業主やスタートアップ企業あるいは中小企業などを応援することがこの制度の特徴です。

Q2-6:

当社は技術力のある委託先を活用して情報セキュリティサービスを提供しています。この場合 、当社は審査登録の対象になるのでしょうか?

A2-6:

OEM等によりサービスの主要部分を委託していても、サービス事業者として審査の対象となります。この場合、サービス事業者がサービスに関する責任を負うこと、また、申請時に委託先情報を提供していただくことが必要となります。

3.サービス台帳への登録基準

Q3-1:

技術要件の「ア専門性を有する者の在籍状況」で技術責任者という用語がありますが、管理職であること、などの条件があるでしょうか。

A3-1:

技術責任者に求められる条件は、基準に示される能力や資格だけであり、役職等は特に定めておりません。

Q3-2:

セキュリティ監視・運用サービス、脆弱性診断サービス等で、要件を満たすものの人数(資格保有者等)を明らかにすること、とあります。これは、審査時に必要な情報、もしくは、お客様との契約時に必要な情報のどちらの位置づけでしょうか?

A3-2:

審査に必要な情報となります。お客様との契約、もしくは、お問い合わせがあった場合などの対応については、個社の判断となります。お客様へも、本制度の主旨を踏まえた適切な対応をお願いします。

Q3-3:

「Webアプリケーション脆弱性診断」、「プラットフォーム脆弱性診断」共に具体的なツール名が指定されていますが、記載されているツール以外を使用してサービス提供を行っている場合でも、審査登録は可能でしょうか?

A3-3:

例示に挙げたツール以外を用いる場合でも、審査の対象となります。例示は脆弱性診断サービスにおいて、所定の機能や性能を備えたツールを用いて診断を行う旨を分かりやすく説明するためのものです。
なお、例示以外のツールを用いている場合、例示に相当する機能や性能を備えたツールであることを証明する資料の添付が必要です。

Q3-4:

脆弱性診断サービスの提供において、「診断結果に対する報告会」の記述がありますが、報告会を開催しない場合でも、審査登録は可能でしょうか?

A3-4:

診断結果に対する報告会の開催は基準で求めている「サービス仕様を顧客に対して明示すること」の具体例を示したものであり、基準を満足するのであれば例示された方法に限定するものではありません。

Q3-5:

附則4-4において、「セキュリティ監視・運用サービスの提供において用いる以下に例示する内容及びその明示方法の例示」があります。これは、当社が提供している”全て”のセキュリティ関連サービスが条件を満たしているかどうかを評価するのでしょうか?

A3-5:

提供されているサービス(この場合は、セキュリティ監視・運用サービス)の中 に、条件を満たすものと満たさないものがある場合、条件を満たすもののみが対象となります。条件を満たすもののみを申請してください。なお、登録された対象サービスを特定するために、当協会では「サービスマーク(SSSマーク)」を発行いたします。複数のサービスが混在する場合、このマークを用いて、登録されたサービスとそうでないサービスを利用者が識別できように明示してください。

Q3-6:

情報セキュリティ監査の基準には「管理基準」が含まれるのでしょうか?

A3-6:

情報セキュリティ監査サービスで求められる基準は、監査基準が対象となります。管理基準は監査基準とはみなしません。

Q3-7:

情報セキュリティ監査サービスに求められる基準の例示に相当するものとして「政府機関の情報セキュリティ対策のための統一基準群」は該当しますか?

A3-7:

上記の統一基準群は「管理基準」であり、監査基準ではないため例示相当とは認められません。

Q3-8:

情報セキュリティ監査サービスに求められる基準の例示として「Payment Card Industry Security Standards Council」が定める基準とありますが、「PCIDSSに準拠した監査サービス」を実施している場合は該当しますか?

A3-8:

PCIDSSは管理要件および管理基準の両側面があるので、上記の表現では適合とは認められません。具体的にはPCIDSSの認定審査機関QSA相当の監査サービスを実施していることを示す資料の添付が必要です。

Q3-9:

サービス品質に関する要件は自社で満たすことが可能ですが、繁忙期には外部に委託して対応しています。この場合にも、委託先情報の提供を行う必要がありますか?

A3-9:

サービス基準が求めるサービス品質を自社単独で提供できる場合には、委託先情報の提供は不要です。委託先抜きにサービス基準の要件を満たすことができない場合に限り委託先情報が必要となります。

Q3-10:

申請書に記載した情報セキュリティサービスの名称は、ホームページ等で明示しなければならないでしょうか?

A3-10:

はい、明示しなければなりません。本制度は、適合としたサービスが利用者の方々に明確に提示できることを前提としています。ホームページで明示されていない場合、あるいは顧客への提出資料等で名称が異なる場合には、申請したサービスの実在性が確認できません。この場合には、サービスの提供がなされていないものと判断し、提出された申請書に記載された要件が満たされていても不適合となります。

4.例示相当として認められている資格やツール

Q4-1:

サービス基準に例示されている資格やツール以外で、すでに例示に相当すると認められているものはありますか?

A4-1:

以下は例示相当とみなしています。

(1)Web アプリケーション脆弱性診断のツール(附則2-4)
Burp Suite、OWASP ZAP、Insight AppSec/Appspider、HCL AppScan

(2)デジタルフォレンジックサービスの資格(附則3-1)
CFE、GCFA、GFNA、GCTI、GREM、GASF

(3)デジタルフォレンジックサービスの研修(附則3-3)
SANS 585

(4)デジタルフォレンジックサービスのツール(附則3-4)
特定非営利活動法人デジタル・フォレンジック研究会が発行している「証拠保全ガイドライン」付録資料Hに記載の「代表的な収集及び分析ツール」に記載されているツールを例示相当とみなします。

Q4-2:

サービス基準に記載された例示以外の資格やツールなどを、例示に相当するものとして申請する場合に、どのような資料が必要でしょうか?

A4-2:

例示にない資格やツールをもって登録申請をする場合には、その能力・性能が例示と同等であることを証明する資料の添付が必要です。例示に相当することの証明責任は申請者にありますので、資料がない場合や内容が不十分な場合など、客観的に第三者が確認できない場合には不適合となります。
資格を例にとると、資格取得の要件や資格取得に必要な学習内容(シラバスなど)が考えられます。ツールの場合には、性能や機能を示す資料が考えられます。

5.審査・登録期間、有効期間

Q5-1:

サービスの申請から審査、サービス台帳への登録のタイミングを教えてください。

A5-1:

審査およびサービス台帳登録は四半期に1回を予定しています。サービス台帳登録の時期は原則として6月、9月、12月、3月の各月の下旬を想定しています。サービス申請は随時受け付けますが、審査期間を考慮すると各四半期の最初の月末までに申請を頂いたものが概ね審査の対象となります。(サービス申請の募集期間については、こちらをご参照ください。)
なお、頂いた申請書の内容に不備があると、審査が翌四半期にずれ込む恐れがありますので、ご注意ください。

Q5-2:

サービス台帳登録の有効期間はどのくらいですか?

A5-2:

サービス台帳登録日から2年です。継続してサービス台帳への登録を希望する場合には、毎回、更新審査を受けていただきます。

Q5-3:

更新審査にはどのくらいの時間がかかりますか?

A5-3:

更新審査であっても、毎回、同水準の審査を行いますので、同じくらいの時間がかかります。継続してサービス台帳への登録を希望される場合には、審査期間等を考慮し前回の申請と同時期に申請されることをお勧めします。

6.審査料と登録料

Q6-1:

審査料と登録料は、サービス毎に収める必要がありますか?

A6-1:

サービス毎に審査や登録の手続きが都度行われますので、審査料と登録料はサービス毎に収めていただく必要があります。

Q6-2:

審査料と登録料の違いを教えてください。

A6-2:

審査料は申請に基づき、情報セキュリティサービスがサービス基準を満たしているかを審査するために必要な経費をご負担いただくものです。また、登録料はサービス台帳への掲載に必要な経費及びサーベイランス等、本制度の維持に係る経費をご負担いただくものです。

審査料は審査に必要な手続きのための経費であるため、申請時にお支払いいただきます。審査料が未納の場合、審査は行いませんし、審査結果の如何に係らず、原則として返金は致しません。また、登録料が未納の場合には、サービス台帳への掲載は行われません。
いずれも、申請があってから一定期間内に振り込みが確認できない場合には、不適合となる可能性がありますのでご注意ください。

7.登録申請手続き

Q7-1:

当社では事業部制をとっており、事業部として申請を検討しています。その事業を管掌する者が代表取締役ではありますが、社長ではなく専務執行役員となっております。代表取締役専務執行役員が申請者となれるのでしょうか?

A7-1:

申請者は代表取締役であることが条件ですが、必ずしも社長である必要はありません。代表取締役であれば、社長でなくても申請者になれます。

Q7-2:

様々な事業部で多様な情報セキュリティサービスを提供している場合、会社ひとまとめで事業者申請をするべきか、事業部ごとに申請するべきか、どちらが良いか教えてください。

A7-2:

それぞれ一長一短があります。
会社ひとまとめで申請した場合には、申請料と登録料が1つのサービス分ですみます。一方、多数の事業部のサービスをすべて一つのサービスとして管理し、サービス台帳の記載内容の変更等を一つの窓口で取りまとめていただく必要があるため、社内の管理が煩雑になるおそれがあります。

一方、事業部ごとに申請する場合には、多数の事業部のサービスをすべて一つのサービスとして管理するなどの取りまとめは不要となりますが、申請料や登録料が事業部ごとにかかります。

Q7-3:

事業者の申請とサービスの申請が分かれていますが、何故、2つの申請が必要なのですか?

A7-3:

同一の事業者であっても複数のサービスを審査登録するためには、サービス毎に複数の申請が必要となります。そこでまず、サービスを提供する事業者として一旦申請を頂き、そののち、サービス毎に行われた申請に対し審査を行い、サービス基準を満たしているものを登録するという手続きとなるため、申請は2つに分かれております。

8.サービス台帳への掲載内容

Q8-1:

サービス台帳にはどのような内容が記載されますか?

A8-1:

サービス登録番号、サービス名称、事業者の連絡先情報(①名称、②所在地、③事業者登録番号)、登録年月日、有効期限です。

Q8-2:

申請時にアンケートがありますが、これは審査に関係しますか?アンケート記入の必要性を教えてください。

A8-2:

アンケートは審査対象ではないので、必須ではありません。
ただし、アンケートに記載いただいた情報を元に、利用者がサービス台帳のサイトで必要なサービスの絞り込みをできるようにしているため、丁寧にお答えいただくことで、顧客へのアピールになるものと考えております。

9.IPAの情報セキュリティサービス基準適合サービスリストとの関係

Q9-1:

当協会のホームページにある登録サービスの一覧と、独立行政法人情報処理推進機構(IPA)が公開している情報セキュリティサービス基準適合サービスリストとは、どのような関係にあるのですか?

A9-1:

当協会のホームページに掲載しているサービス台帳は、「情報セキュリティサービスに関する審査登録機関基準(経済産業省)」の登録簿に該当するものです。当協会はIPAの確認を受け、登録簿をIPAに提供し、IPAが情報セキュリティサービス基準適合サービスリストとして公開します。なお、情報セキュリティサービス基準適合サービスリストとして公開されるためには、IPAが求める誓約書の提出が別途必要となります。

Q9-2:

IPAの誓約書に2か所捺印を求められています。2か所とも捺印が必要でしょうか?

A9-2:

当協会がお答えする立場にはないので、IPA(isec-info@ipa.go.jp)に直接お問い合わせください。