「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」の改定を実施 NISC

掲載:2024年11月11日

サイバー速報

         
目次

内閣サイバーセキュリティセンター(NISC)はこのほど、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」について、所要の改定を実施しました。2023年7月に改定された「政府機関等のサイバーセキュリティ対策のための統一基準」および2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン」と整合性を取るためだとされています。

本マニュアルは、政府機関において情報システムを調達する際に調達仕様書に記載するセキュリティ要件の策定方法を説明し、情報システムの企画段階から適切なセキュリティ対策を組み込むことを目的とした文書です。2011年3月に初版が策定されました。政府機関などの職員向けに作成されたものですが、一般企業においても活用可能だとしています。

内容としては、ステップ1~7に分けて業務要件の検討からセキュリティ要件の策定までのプロセスが説明されており、例えば、セキュリティ要件の策定に関する章では、はじめに調達仕様書に記載するセキュリティ要件の選定方法として「対策要件集」がまとめられています。「侵害対策」や「不正監視・追跡」などといった対策目的に応じて対策方針と対策要件を定め、さらにその対策要件ごとに低位・中位・高位と3段階の実施レベルを設定しているもので、以降のステップでは、この対策要件集などを利用した調達仕様書の記載方法が解説されています。

今般の改定では、「付録および別冊の構成」の節が追加され、付録A~Dと別冊資料の位置付けが示されたほか、ガイドラインが定める調達仕様書に記載する事項の一部などが改定されました。