お知らせ

2-1-1セキュリティ診断について 審査変更点

安全・安心マーク取得会社の皆様へ

安全・安心マーク審査委員会

2-1-1セキュリティ診断について 審査変更点

現在、セキュリティ診断結果が様々なツールで申請されております。協議会ではWebに推奨ツールを掲載しておりますが、それを含めて、評価基準が一定でないため、客観的な統一基準に変更したいと思います。今後は「共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)(IPAでも採用)」を適用し、スコアの統一が図ることで、すべての事業者様が統一の基準で審査を受けていただこうと思います。

申請書提出の注意点:

  1. 1)今後脆弱性診断は、CVSS v2 の基本評価基準(Basic Metric)(以下CVSS基本値)に対応したソフトウェア、もしくはサービスを使用して脆弱性診断を行うこと、また、発見された脆弱性の深刻度の指標としてCVSS基本値が報告書に記載されることを条件とする。
  2. 2)深刻度がCVSS基本値7.0以上(Level III:危険)の脆弱性については、これらが検出されないか、報告書提出時までにこれが解消されていなければならない。
  3. 3)深刻度がCVSS基本値4.0以上(Level II:警告)の脆弱性については、検出された全ての項目について、事業者がそれらの脆弱性を認識し、報告書提出時までに自社のネットワーク運用環境を鑑みて、十分な検討・配慮がなされたことを示す責任者の意見書の提出を必要とする。
  4. 4)CVSSへの対応については、現在推奨されている脆弱性診断ソフト及びサービスについて調査したところ5つ全てが対応可能であることを確認しているが、事業者によっては、推奨外もしくは最新版でないソフトを利用しているケースもあると考えられるため、2010年3月より1年を移行期間として設ける。

申請書類の変更

  • 昨今の情報セキュリティ関係の問題が多発している中、協議会より緊急のお知らせ等を含めた連絡をする場合の連絡先(セキュリティ担当者の連絡先)を記述していただく欄を作りました。回答書が新しくなっておりますので、Webよりダウンロードして申請をお願いいたします。

以上