経済産業省 政府機関としてＳＴ確認された基盤ネットワークを初めて導入

　こんにちは、丸山満彦です。経済産業省が「政府機関としてＳＴ確認された基盤ネットワークを初めて導入」したことを発表していますね。。。
＝＝＝＝＝
１．ＳＴ確認とは、国際的なセキュリティ評価基準に基づき、情報システムのセキュリティ面の設計を、開発した事業者の申請に基づいて、規定された評価方法に従って第三者機関が評価し、さらに独立行政法人情報処理推進機構（ＩＰＡ）がその評価結果を確認するわが国固有の制度です。

２．内閣官房情報セキュリティセンターが定めた「政府機関の情報セキュリティ対策のための統一基準」により、政府機関の情報システムについては、セキュリティレベルを高めるため、ＳＴ確認を活用することが求められております。

３．経済産業省は、本年度、更新中の基盤ネットワークシステムの構築に当たって、ＳＴ確認を取得するべく準備を進めて参りましたが、９月３０日にＩＰＡによる確認が完了いたしました。
＝＝＝＝＝
　ということのようですね。。。

　
【経済産業省】
・2008.10.01 政府機関としてＳＴ確認された基盤ネットワークを初めて導入
・・政府機関としてＳＴ確認された基盤ネットワークを初めて導入(PDF形式：344KB)

　他の省庁の進捗状況はどのようになっているのでしょうかね。。。

【参考】内閣官房 情報セキュリティセンター
・「政府機関の情報セキュリティ対策のための統一基準（第３版）」解説書
＝＝＝＝＝
4.3 情報システムのセキュリティ要件
4.3.1 情報システムのセキュリティ要件
(1) 情報システムの計画
【基本遵守事項】
(d) 情報システムセキュリティ責任者は、構築する情報システムに重要なセキュリティ要件があると認めた場合には、当該情報システムのセキュリティ機能の設計について第三者機関によるセキュリティ設計仕様書（ST：Security Target）のST評価・ST 確認を受けること。ただし、情報システムを更改し、又は構築中に仕様変更が発生した場合であって、見直し後のセキュリティ設計仕様書において重要なセキュリティ要件の変更が軽微であると認めたときは、この限りでない。

解説：重要なセキュリティ要件がある情報システムについては、セキュリティ機能が確実に実装されることを目的として、ISO/IEC 15408 に基づきセキュリティ設計仕様書のST 評価・ST 確認を行うことを求める事項である。
　「ST 評価・ST 確認を受けること」とは、ST 評価・ST 確認がなされた状態になることを意味し、具体的な手続としては、申請と確認書入手がなされることである。情報システムの構築が終了するまでにセキュリティ設計仕様書について、ST 評価・ST 確認済みとなっている必要があるが、セキュリティ設計仕様が適切であると判断できた上で設計段階から作成段階に移るべきであることから、申請行為は設計段階のうちに行われていることが通常の手順である。
　なお、情報システムの構築を外部委託する場合には、契約時に条件として含め納品までにST 評価・ST 確認を受けさせることになる。

＝＝＝＝＝

・DM4-01-051情報システムにおける情報セキュリティ対策実施規程 策定手引書
・DM4-01-061情報システムにおける情報セキュリティ対策実施規程 雛形
＝＝＝＝＝
9 ST評価・ST確認とITセキュリティ評価及び認証制度の活用
9.1 ST評価・ST確認の手続
規程策定者への解説
　ST評価・ST確認は、情報システム及び製品のセキュリティ設計仕様書（ST：Security Target）ISO/IEC15408に適合していることを、第三者評価機関を使い評価・確認する制度である。セキュリティ機能の実装に当たって客観性の高い評価・確認を行いたい場合には、ST評価・ST確認を受けることを求めることができる。

(1) [情報システムセキュリティ責任者]は、[情報システムの構築等におけるST評価・ST確認の実施に関する解説書] に準じて、重要なセキュリティ要件がある情報システムについて、STを作成し、評価機関・認証機関に申請を行い、ST評価・ST確認を受けたことを示す確認書を入手すること。なお、ST評価・ST確認は開発が終了するまでに終了すること。
規程利用者への補足説明
　セキュリティ機能の実装に当たって客観性の高い評価・確認を行いたい場合には、セキュリティ設計仕様書（ST：Security Target）に関するST評価・ST確認を受けるべきである。
　府省庁が自ら情報システムの構築又はソフトウェアの開発を行う場合には、府省庁が第三者機関に依頼してST評価・ST確認を受けることを想定している。
　情報システムの基本設計がまとまった時点で、STの作成を開始し、ST評価・ST確認の申請を評価機関・認証機関に行い、ST確認を実施する必要がある。また、ST評価・ST確認は、開発が終了するまでに終了している必要がある。
　なお、手続の詳細については、[情報システムの構築等におけるST評価・ST確認の実施に関する解説書]を参考とできる。
　
(2) [情報システムセキュリティ責任者]は、ST評価・ST確認を行う場合、ST評価・確認制度を運用するIPA（独立法人情報処理推進機構）の策定する要領に沿ってSTを作成すること。
[http://www.ipa.go.jp/security/jisec/apdx0504.html]
規程利用者への補足説明
STに関する詳細は、ST評価・確認制度を運用するIPA（独立法人情報処理推進機構）のホームページに記載されており、これに準じて作成する必要がある。

【ITセキュリティ評価・認証制度を利用する場合】
9.2 ISO/IEC 15408に基づくITセキュリティ評価及び認証制度の利用
規程策定者への解説
　構築する情報システムの構成要素として調達する機器及びソフトウェアの選択に当たり、採用候補製品が複数ある場合に、ISO/IEC 15408に基づくITセキュリティ評価及び認証制度に基づく認証を取得している製品を選択する。ITセキュリティ評価・認証制度とは、IT製品あるいはシステムのセキュリティ機能が、正確に実装され、想定されている脅威に有効に動作することを、認定された中立性の高い第三者（評価機関）が評価する制度である。
なお、本事項は政府機関統一基準における強化遵守事項であって、採否は府省庁が判断する。

(1) [情報システムセキュリティ責任者]は、重要なセキュリティ要件がある情報システムについて、当該要件に係るセキュリティ機能の設計に基づいて、製品として調達する機器及びソフトウェアに対して要求するセキュリティ機能について、当該機能及びその他の要求条件を満たす採用候補製品が複数ある場合には、その中から当該セキュリティ機能に関してITセキュリティ評価及び認証制度に基づく認証を取得している製品を情報システムの構成要素として選択すること。
規程利用者への補足説明
情報システムの構築を行う場合には、[外部委託における情報セキュリティ対策実施規程 策定手引書及び同雛形（DM6-02-061）]も参照されたい。
なお、手続の詳細については、「情報システムの構築等におけるセキュリティ要件及びセキュリティ機能の検討に関する解説書」を参考とできる。
＝＝＝＝＝