令和元年度サイバーセキュリティ経済基盤構築事業（情報セキュリティサービス審査登録制度の信頼確保に向けた基準適合サービスリスト掲載サービスに係る実態調査）調査報告書

この報告は、情報セキュリティサービス審査登録制度の信頼確保を目的としたサーベイランス調査について書かれた報告書である。

経済産業省が平成30年2月に公表した情報セキュリティサービス基準に適合するサービスを掲載する基準適合サービスリストの信頼性を確保するため、掲載済みサービスに対する追加的・事後的なサーベイランス調査を実施した。調査は令和元年11月時点でリストに掲載されている119サービスから8件を抽出し、申請書類記載内容の事実確認を行った。

調査内容は技術要件と品質管理要件の2つに分かれ、技術要件では専門性を有する者の在籍状況とサービス仕様の明示状況を確認し、品質管理要件では品質管理者の割当て、品質管理マニュアルの整備状況、品質維持・向上手続きの導入状況を検証した。調査実施に当たっては、情報セキュリティサービスに知見のある技術的専門家6名によるワーキンググループを2回開催し、対象サービスの選定や調査方法について検討を行った。

サーベイランス実施者は公募により選定し、特定非営利活動法人日本セキュリティ監査協会の支援を得て実施した。調査は書面によるエビデンス資料の確認と品質管理者へのインタビューにより行われ、2月6日から3月8日まで実施された。

調査結果として、対象8サービスのうち2サービスで申請内容との齟齬が検出された。1つは情報セキュリティ監査サービスにおいて汎用的な品質管理マニュアルを適用していたもので、もう1つは脆弱性診断サービスにおいて品質管理マニュアルの変更記録とバージョン管理が適切に行われていなかったものである。これらの是正方針は今後審査登録委員会で審議される予定である。

今後のサーベイランス実施に向けて、実施時期を第2から第3四半期に変更することや、質の高い実施者確保のための告知方法改善、事業者の協力を促進する方法の工夫などの改善点が検討課題として挙げられた。