経済産業省は6月5日、「サイバーセキュリティ・サービス事業者の信頼性強化に向けた制度構築に向けた中間とりまとめ」を発表した。
サイバーセキュリティ・サービスへのニーズの増加が見込まれる中、サイバーセキュリティ・サービス提供事業者に起因する機微情報流出等のリスクに対応するために、サービス提供事業者の「適切な運営体制」が一層重要となり、特に、政府機関・重フラ、安全保障に関係する事業者等では、十分な「適切な運営体制」を有するサイバーセキュリティ・サービス事業者を選定・活用するニーズが想定される。
同省では、これらを踏まえ、既に技術・品質の基準に基づき登録を行っている現行の「情報セキュリティサービス審査登録制度」に登録しているサイバーセキュリティ・サービス提供事業者を対象に、「事業者の適切な運営体制」を確認する認定制度の創設を検討し、2026年度に詳細設計を進め、2027年度中の運用開始を目指している。
現行の「情報セキュリティサービス審査登録制度」は、幅広い事業者が登録できるよう、技術や品質確保の基本的な基準で審査する任意制度で、サイバーセキュリティ・サービスの種類は下記の通りとなっている。
1.情報セキュリティ監査サービス
2.脆弱性診断サービス及びペネトレーションテスト(侵入試験)サービス
3.デジタルフォレンジックサービス
4.セキュリティ監視・運用サービス
5.機器検証サービス
中間とりまとめでは、下記のサイバーセキュリティ・サービス提供事業者の体制・措置等に起因する事案の例を参考として取り上げている。
事業者:Hacker One
発生時期:2022年7月
事案の概要:Hacker Oneの元従業員が、顧客の脆弱性情報に不適切にアクセスし、当該顧客から報奨金を得る目的で当該脆弱性情報を外部に漏えい(当該顧客に再送信)。Hacker Oneでは、ロギングの改善と採用審査の強化等の改善策を公表している。
事業者:Trend Micro
発生時期:2019年11月
事案の概要:技術サポートを担当していた元従業員が最大12万人分の顧客情報を盗み出して第三者に売却し、詐欺の電話に悪用されていることが発覚。Trend Microは、再発防止に向け、管理体制の一層の強化等を行う旨を公表している。
事業者:Bitdefender
発生時期:2015年7月
事案の概要:Bitdefenderに対するセキュリティ侵害が発生し、顧客情報(.govドメインを含むメールアドレス、ユーザー名、パスワード等)が漏えい。攻撃者は、当該漏えいした情報が完全に暗号化されていなかったと主張。暗号化されていないデータの漏えいとの観点から、Bitdefenderのセキュリティ姿勢を懸念する報道も。
新設される新たな基準は、サイバーセキュリティ・サービス事業者の体制・措置等に起因する事案の防止を図ることを目的に、サービス事業者の適切な運営体制を確保するため、事業者における情報の取扱いの適正性等を確認し、高度な適切な運営体制を有するサイバーセキュリティ・サービス事業者を認定する。
