情報セキュリティサービス台帳

情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、情報セキュリティ監査を行う主体が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与え又は助言を行うサービスをいう。
（経済産業省　「情報セキュリティサービス基準」より）

■脆弱性診断サービス

システムやソフトウェア等の脆弱性に関する一定の知見を有する者が、 システムやソフトウェア等に対して行う次に掲げるいずれか、又は全ての サービスをいう。

• Web アプリケーション脆弱性診断
• プラットフォーム脆弱性診断
• スマートフォンアプリケーション脆弱性診断

（経済産業省　「情報セキュリティサービス基準」より）

■ペネトレーションテスト（侵入試験）サービス

脆弱性診断のサービスの定義を満たすサービスのうち、攻撃者が実際に侵入等を行うために用いる手法と同様の手法により、アプリケーション、システム、又はネットワークのセキュリティ機能を回避して攻撃の目的を達成できるかの観点から試験を行い、その結果をもとに助言を行うサービスをいう。
注釈：「ペネトレーションテスト（侵入試験）サービス」は「脆弱性診断サービス」のオプションサービスである。

（経済産業省　「情報セキュリティサービス基準」より）

システムやソフトウェア等の資源及び環境の不正使用、サービス妨害 行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るため の行為（事象）等への対応等や法的紛争・訴訟に際し、電磁的記録の証拠 保全、調査及び分析を行うとともに、電磁的記録の改ざん及び毀損等につ いての分析及び情報収集等を行う一連の科学的調査手法及び技術（以下 「デジタルフォレンジック」という。）についての次に掲げるいずれか又 は全てのサービスをいう。

• 機器や記録デバイスを対象とするデジタルフォレンジックによる調査
• デジタルフォレンジックによる調査に付帯する訴訟支援及び電子証拠開示対応（ｅディスカバリ）等のサービス

（経済産業省　「情報セキュリティサービス基準」より）

システムやソフトウェア等についての情報セキュリティを確保するための監視サービス及びシステムやソフトウェア等の適切な運用について の次に掲げるいずれか又は全てのサービスをいう。

• マネージドセキュリティサービス
  （セキュリティインシデント又は その予兆の検知、防御を目的とするものをいう。）
• セキュリティ監視サービス
  （セキュリティ製品が出力するログの分 析、通知、レポート提供を継続的に
  提供するものをいう。）
• マネージドセキュリティサービスやセキュリティ監視サービスを包含する複合的なサービス

（経済産業省　「情報セキュリティサービス基準」より）

IoT 機器をはじめとするネットワーク通信機能を持つ機器及びその機器に対してネットワークを通じて操作・管理・データ処理等を行うアプリケーションから構成されるシステム（IoT システム）に対して行う次に掲げるいずれか又は全てのサービスをいう。

• 機器検証
• 機器検証及びWeb アプリケーション脆弱性診断
• 機器検証及びプラットフォーム脆弱性診断

（経済産業省　「情報セキュリティサービス基準」より）