「情報セキュリティサービス審査登録制度」の対象に「ペネトレーションテスト（侵入試験）サービス」を追加しました

1．背景

経済産業省では、情報セキュリティサービスの利用者が当該サービスを安心して利用ができ、調達時に参照できるような仕組みの提供を目的として、当該サービスが満たすべき品質及び技術の基準を定めた「情報セキュリティサービス基準」及び、申請されたサービスが「情報セキュリティサービス基準」を満たしていることを審査する機関の満たすべき基準を定める「情報セキュリティサービスに関する審査登録機関基準」を平成30年2月に策定・公表しています（令和5年3月に「情報セキュリティサービス基準」の第3版を策定・公表。）。これらの基準に基づき、経済産業省では、独立行政法人情報処理推進機構（IPA）を通じて、「情報セキュリティサービス基準」を満たすサービスを公表する「情報セキュリティサービス審査登録制度」を運用しています。具体的には、(1)情報セキュリティ監査、(2)脆弱性診断、(3)デジタルフォレンジック、(4)セキュリティ監視・運用、(5)機器検証の5つのサービス区分それぞれについて、基準を満たしたサービスをリストに登録し、IPAのウェブサイトに公表しています（2023年12月時点で300サービスが掲載）。当該リストに掲載された企業が、政府調達や地方公共団体における調達で活用することが推奨されるなど、情報セキュリティサービス審査登録制度の活用も進んでいます。

情報セキュリティサービス審査登録制度のより一層の普及を図るべく、経済産業省では、情報セキュリティサービスに関する有識者で構成される「情報セキュリティサービス普及促進に関する検討会」を2020年8月に立ち上げ、「情報セキュリティサービス基準」の改訂を検討してまいりました。今般、検討会や意見公募を通じて頂いた御意見等を踏まえて、現行の「情報セキュリティサービス」の1サービス区分である「脆弱性診断サービス」に、オプションサービスとして新たに「ペネトレーションテスト（侵入試験）サービス」の1区分を追加した、「情報セキュリティサービス基準」の第4版を公表することとしました。

2．「情報セキュリティサービス基準」の改訂の概要等

既存の「脆弱性診断サービス」の基準を満たすサービスのうち、実際に既知の技術を用いて侵入を試みるテスト方式を提供するサービスを「ペネトレーションテスト（侵入試験）サービス」として、「脆弱性診断サービス」のオプションサービスに追加しました。「ペネトレーションテスト（侵入試験）サービス」に登録されたサービスは、既存の「脆弱性診断サービス」を包含するものとして扱われます。「ペネトレーションテスト（侵入試験）サービス」の登録申請の募集は、2024年9月頃に開始する予定です。

また、「ペネトレーションテスト（侵入試験）サービス」の追加に伴い、具体的な要件などを示す「情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示」も第3版を公表しました。

関連資料

• 情報セキュリティサービス基準 第４版
• 情報セキュリティサービスにおける技術及び品質の確保に資する取組の例示 第３版
• 情報セキュリティサービス審査登録制度の概要（PDF形式：404KB）

関連リンク

• 情報セキュリティサービス審査登録制度
• 情報セキュリティサービス基準適合サービスリスト

担当

商務情報政策局サイバーセキュリティ課長 武尾
担当者：吉川、木本
電話：03-3501-1511（内線 3964）
メール：bzl-cyber-madoguchi★meti.go.jp
※［★］を［@］に置き換えてください。