経産省、IT製品調達でのセキュリティ要件を公開

政府のIT製品調達に関するセキュリティ要件リストが公開され、共同作成したIPAがリスト活用のためのガイドブックを提供する。

[ITmedia]

　経済産業省は5月19日、政府機関などでのIT製品の調達に関するセキュリティ要件リストを公開した。対象製品分野で考慮すべきセキュリティ上の脅威や対策要件などを示したもので、民間企業や組織でも活用できるとしている。

リストを利用してセキュアなIT製品を調達するためのフロー（経産省より）

　同リストは、経産省が2011年に公開した「IT セキュリティ評価及び認証制度等に基づく認証取得製品分野リスト」を改定・改名したもの。これにより、情報セキュリティに配慮したITシステムの政府調達を実効的、効率的に行えるという。

　リストが対象とする製品分野は「デジタル複合機（MFP）」「ファイアウォール」「不正侵入検知／防止システム（IDS／IPS）」「OS（サーバOSに限る）」「データベース管理システム（DBMS）」「スマートカード（ICカード）」の6つ。対象候補に「USBメモリ」も挙げている。

　例えば、MFPの項目ではセキュリティ上の脅威として「他の利用者による不正な操作」「通信データの盗聴、改ざん」など6種類を記し、国際標準に基づくセキュリティ要件で対抗する脅威の内容や補足事項を示している。

　また、経産省と共同作成した情報処理推進機構（IPA）は同リストを補完するガイドブックを公開した。IPAによれば、同リストは「辞書的な役割であり、関連する周辺情報や詳細な注意点、想定される例外事項に対する考え方などは記載されていない」という。

　ガイドブックでは同リストの解説や基本的な活用方法などを紹介。例えば、MFPに関してオフィス向けの大型複合機では同リストを活用できるが、小規模オフィス向けの小型複合機では「注意が必要」、家庭向けのインクジェット複合機では「そのままの活用は困難」といった点を示し、製品調達の担当者が用途に応じて適切な配慮ができる情報を提供するという。