経済産業省情報セキュリティサービス基準(SSS)

Decrypt the history. Encrypt the future.

情報セキュリティサービスとは

経済産業省および特定非営利活動法人日本セキュリティ監査協会が運営する情報セキュリティサービス基準審査登録制度(SecurityServicesStandard|SSS)の基準によると、情報セキュリティサービスは国内において以下の4項目に分類されます。
1.情報セキュリティ監査サービス
2.脆弱性診断サービス
3.デジタルフォレンジックサービス
4.セキュリティ監視・運用サービス
引用:経済産業省平成30年2月28日

情報セキュリティ監査サービス

情報セキュリティに係るリスクのマネジメントが効果的に実施されるように、リスクアセスメントに基づく適切なコントロールの整備・運用状況を、情報セキュリティ監査を行う主体が独立かつ専門的な立場から、国際的にも整合性のとれた基準に従って検証又は評価し、もって保証を与え又は助言を行うサービスをいう。

脆弱性診断サービス

システムやソフトウェア等の脆弱性に関する一定の知見を有する者が、システムやソフトウェア等に対して行う次に掲げるいずれか又は全てのサービスをいう。
ア Web アプリケーション脆弱性診断
イ プラットフォーム脆弱性診断
ウ スマートフォンアプリケーション脆弱性診断

デジタルフォレンジックサービス

システムやソフトウェア等の資源及び環境の不正使用、サービス妨害行為、データの破壊、意図しない情報の開示等、並びにそれらへ至るための行為(事象)等への対応等や法的紛争・訴訟に際し、電磁的記録の証拠保全、調査及び分析を行うとともに、電磁的記録の改ざん及び毀損等についての分析及び情報収集等を行う一連の科学的調査手法及び技術(以下「デジタルフォレンジック」という。)についての次に掲げるいずれか又
は全てのサービスをいう。
ア 機器や記録デバイスを対象とするデジタルフォレンジックによる調査
イ デジタルフォレンジックによる調査に付帯する訴訟支援及び電子証拠開示対応(eディスカバリ)等のサービス

セキュリティ監視・運用サービス

システムやソフトウェア等についての情報セキュリティを確保するための監視サービス及びシステムやソフトウェア等の適切な運用についての次に掲げるいずれか又は全てのサービスをいう。
ア マネージドセキュリティサービス(セキュリティインシデント又はその予兆の検知、防御を目的とするものをいう。)
イ セキュリティ監視サービス(セキュリティ製品が出力するログの分析、通知、レポート提供を継続的に提供するものをいう。)
ウ マネージドセキュリティサービスやセキュリティ監視サービスを包含する複合的なサービス

脆弱性診断サービスとは

経済産業省および特定非営利活動法人日本セキュリティ監査協会が運営する情報セキュリティサービス基準審査登録制度(SecurityServicesStandard|SSS)の基準によると、脆弱性診断サービスを以下のように定義しています。
システムやソフトウェア等の脆弱性に関する一定の知見を有する者が、システムやソフトウェア等に対して行う次に掲げるいずれか又は全てのサービスをいう。
ア Web アプリケーション脆弱性診断
イ プラットフォーム脆弱性診断
ウ スマートフォンアプリケーション脆弱性診断
引用:経済産業省平成30年2月28日

脆弱性診断サービスに必要な資格の例

情報処理安全確保支援士
CEH (Certified Ethical hacker)
CISSP (Certified Information Systems Security Professional
CISA(Certified Information System Auditor)
CISM (Certified Information Security Manager
GIAC (Global Information Assurance Certification)

脆弱性診断サービスの専門家コミュニティの例

特定非営利活動法人日本ネットワークセキュリティ協会(JNSA)
日本セキュリティオペレーション事業者協議会(ISOG-J)
 OWASP(The Open Web Application Security Project)

脆弱性診断サービスの専門性を満たす研修の例

SANS Security Courses (504, 542, 560)

脆弱性診断サービスの品質確保に必要な継続専門教育(CPE)

・ 年間20時間以上の教育又は研修(資格維持のための研修を含む。教育サービス事業者が提供する教育・研修のほか、OJT、社内講習や自習を含む。)
・専門家コミュニティにおける年間20時間以上の活動
上記、教育、研修及び専門家コミュニティにおける活動を合計で年
間20時間以上実施していること。または、資格を有する者における継続専門教育(以下「Continuing Professional Education|CPE」という。)による年間20ポイント以上の取得

WEBアプリケーション脆弱性診断

WEBアプリケーション脆弱性診断において、以下に記載する内容相当の基準が求められています。
経済産業省および特定非営利活動法人日本セキュリティ監査協会が運営する情報セキュリティサービス基準審査登録制度(SecurityServicesStandard|SSS)
引用:経済産業省平成30年2月28日

脆弱性診断ガイドライン

・ OWASP の定める ASVS(Application Security Verification Standard)レベル1以上
・ 独立行政法人情報処理推進機構による「ウェブ健康診断仕様」が定める診断内容
・ OWASP が定める「Security Testing Guideline」
・ 日本セキュリティオペレーション事業者協議会及び OWASP による脆弱性診断士スキルマッププロジェクトが定める「脆弱性診断ガイドライン」

WEBアプリケーション脆弱性診断ツール

Vulnerability Explorer(VEX)
IBM Security AppScan(現在はHCL AppScan)

プラットフォーム脆弱性診断ツール

QualysGuard|米Qualys, Inc (NASDAQ:QLYS)
Tripwire IP360/PureCloud|米BELDEN Inc.子会社 (NYSE:BDC)
Nessus| 米Tenable Holdings (NASDAQ:TENB)
Metasploit|米Rapid7, Inc (NASDAQ:RPD)
OpenVAS|独Greenbone Networks

脆弱性診断サービスの結果取扱方法

・ツール出力についての分析を含んだ診断を実施する。
・ 診断結果報告書としてとりまとめる。
・ 診断結果に関する報告会を開催する。