「政府機関等の対策基準策定のためのガイドライン(令和5年度版)」の一部改定版を公表 NISC

掲載:2024年08月14日

サイバー速報

         
目次

内閣サイバーセキュリティセンター(NISC)は7月25日、「政府機関等の対策基準策定のためのガイドライン(令和5年度版)の一部改定(令和6年7月)」(以下、ガイドライン)を公表しました。2023年7月に公表した令和5年版の一部を改定したもの。近年のセキュリティ事情に照らしてIoT製品に対するセキュリティ適合性評価制度やSBOMに関する記載などが追記されました。

ガイドラインは「政府機関等の情報セキュリティ対策のための統一基準群」で示された「遵守事項」に対応するための文書であり、具体的な取り組み内容を定めています。遵守事項に対応した「基本対策事項」を例示した上で、対策基準の策定および実施の際の考え方を解説しています。例示している基本対策事項についてガイドラインでは「これと同等以上の対策を講じる必要がある」と明記しています。

脅威の変化や技術の進展を踏まえ、基本対策事項が見直されました。例えば、遵守事項「4.3.1(1)機器等の調達に係る運用規程の整備」では、基本対策事項4.3.1(1)-2が「統括情報セキュリティ責任者は、機器等の選定基準に、機器等に必要なセキュリティ機能が適切に実装されていることを含めること。」になりました。記述にある「必要なセキュリティ機能が適切に実装されていること」について、続く解説パートでは「『IoT製品のセキュリティ適合性評価制度』の活用が考えられる」などと示しました。

「IoT製品に対するセキュリティ適合性評価制度」は2024年度中(2025年3月頃)に「☆1」のラベル付与が開始される予定です。ガイドラインでは同制度の整備方針を示すとともに将来、ラベル付与製品が普及する時期をめどに、政府機関などでは求めるセキュリティ水準に応じたラベル付与製品の調達を必須化する方針であると記しました。

また、「統括情報セキュリティ責任者は、ソフトウェア及びサイバーセキュリティリスクの高い機器等の調達における透明性の確認を必要とする場合には、SBOM(Software Bill of Materials:ソフトウェア部品表)の作成、提供等を、調達時の評価項目とすることを機器等の選定基準として定めること。」が基本対策事項「4.3.1(1)-4」として追記されました。これを解説した箇所では、SBOMを「ソフトウェアコンポーネントに関する情報を含んだ機械処理可能な一覧リスト」と説明した上で、これを選定基準の1つに加えることがソフトウェアの透明性の確認につながるとしました。あわせて、経済産業省が2023年7月に公表したSBOMに関する手引き(※)を紹介し、参考にするよう推奨しました。

※経済産業省「ソフトウェア管理に向けたSBOM(Software Bill of Materials)の導入に関する手引」(令和5年7月28日)

当社のWebサイトでは、サイト閲覧時の利便性やサイト運用および分析のため、Cookieを使用しています。こちらで同意をして閉じるか、Cookieを無効化せずに当サイトを継続してご利用いただくことにより、当社のプライバシーポリシーに同意いただいたものとみなされます。
同意して閉じる