日本政府がスマホ含むIT機器の調達でセキュリティ重視の申しわせ、特定企業は名指しせず

Tweet

内閣サイバーセキュリティセンター(National center of Incident readiness and Strategy for Cybersecurity：NISC)は2018年12月10日の午前に第16回サイバーセキュリティ対策推進会議および第81回各府省情報化統括責任者連絡会議を開催し、IT調達に係る調達方針および調達手続きに関する申し合わせを実施した。

サイバーセキュリティ確保の観点から悪意のある機能が組み込まれた情報システム、機器、役務などの調達を防ぐ必要があり、政府機関の重要業務に係るIT調達においてサイバーセキュリティ上の深刻な悪影響を軽減するための新たな取り組みが必要という。

そこで、政府機関で特に防護すべき情報システム、機器、役務などに関する調達の基本的な方針と手続きについて申し合わせ、講ずべき必要な措置を明確化した。

対象となる情報システム、機器、役務を調達する場合、調達する情報システム、機器、役務の提供事業者およびその製品や役務について、サイバーセキュリティ確保の観点から仕様条件の決定、製品および役務の提供事業者の選定のために必要な情報をRequest for Information (RFI)およびRequest for Proposal (RFP)などにより取得する。

対象となる情報システム、機器、役務の契約方式は総合評価落札方式や企画競争など、価格面のみならず総合的な評価を行うよう求める。

対象とする政府機関は内閣官房、内閣法制局、人事院、内閣府、宮内庁、公正取引委員会、個人情報保護委員会、警察庁、金融庁、消費者庁、復興庁、総務省、法務省、外務省、財務省、文部科学省、厚生労働省、農林水産省、経済産業省、国土交通省、環境省、防衛省、会計検査院である。

対象とする情報システム、機器、役務などは通信回線装置がハブ、スイッチ、ルータ、ファイアウォール、IDS (Intrusion Detection System)、IPS (Intrusion Prevention System)、UTM (Unified Threat Management)、サーバ装置がメールサーバ、Webサーバ、DNSサーバ、ファイルサーバ、データベースサーバ、認証サーバ、メインフレーム、管理サーバ、Proxyサーバ、NAS (Network Access Server)、端末がデスクトップPC、ノートPC、モバイル端末、複合機がプリンタ、特定用途機器がテレビ会議システム構成機器、IPS電話システム構成機器、ネットワークカメラシステム構成機器、各種センサ、入退館(入退室)システム構成機器、ソフトウェアがOS、アプリケーション、ウェブコンテンツ、ミドルウェア、ファームウェア、周辺機器がキーボードとマウス、外部電磁的記録媒体が外付けハードディスクとUSBフラッシュメモリ、役務がシステム開発、運用および保守、通信サービス、クラウドサービスとなっている。

モバイル端末にはスマートフォンやタブレット端末が含まれている。

なお、情報通信役務の調達では情報システムの利用に伴い外部接続が必要となる場合、通信役務の提供事業者に対してサイバーセキュリティ確保の観点から必要な情報提供を求める。

2019年4月1日以降に調達手続きを開始するIT調達より適用し、適用開始から1年後を目途に必要な見直しを行うという。

防護すべき情報システム、機器、役務などとその調達方針および調達手続きの規定が目的で、特定の企業や製品の排除は目的としておらず、特定の企業の名指しはしていない。

内閣サイバーセキュリティセンター