「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」の改定を実施 NISC
掲載:2024年11月11日
サイバー速報
目次
内閣サイバーセキュリティセンター(NISC)はこのほど、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」について、所要の改定を実施しました。2023年7月に改定された「政府機関等のサイバーセキュリティ対策のための統一基準」および2024年7月に一部改定された「政府機関等の対策基準策定のためのガイドライン」と整合性を取るためだとされています。
本マニュアルは、政府機関において情報システムを調達する際に調達仕様書に記載するセキュリティ要件の策定方法を説明し、情報システムの企画段階から適切なセキュリティ対策を組み込むことを目的とした文書です。2011年3月に初版が策定されました。政府機関などの職員向けに作成されたものですが、一般企業においても活用可能だとしています。
内容としては、ステップ1~7に分けて業務要件の検討からセキュリティ要件の策定までのプロセスが説明されており、例えば、セキュリティ要件の策定に関する章では、はじめに調達仕様書に記載するセキュリティ要件の選定方法として「対策要件集」がまとめられています。「侵害対策」や「不正監視・追跡」などといった対策目的に応じて対策方針と対策要件を定め、さらにその対策要件ごとに低位・中位・高位と3段階の実施レベルを設定しているもので、以降のステップでは、この対策要件集などを利用した調達仕様書の記載方法が解説されています。
今般の改定では、「付録および別冊の構成」の節が追加され、付録A~Dと別冊資料の位置付けが示されたほか、ガイドラインが定める調達仕様書に記載する事項の一部などが改定されました。
おすすめ記事
- セキュリティ・バイ・デザイン、セキュア・バイ・デザイン
- セキュア・バイ・デフォルト
- サイバーセキュリティ
- 海外のサイバーセキュリティ事情 ~英国全体でサイバーセキュリティを底上げする仕組み Cyber Essentials制度~
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- NIST CSF 2.0版~改訂のポイント~
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~
- 「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC
- 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン」の Ver 2.0を策定、情報セキュリティ規程のひな形も公開 経産省