日本セキュリティ格付機構、経済安全保障推進法に対応した 「特定重要設備」向け情報セキュリティ対策支援および 第三者証明サービスを開始
~ISMAP・CMMC 2.0の知見を活かし、基幹インフラのサプライチェーンにおける サイバーセキュリティ対策を徹底支援~
一般社団法人日本セキュリティ格付機構(略称:JaSRO、本社:東京都中央区、代表理事:三好 宗一郎)は、電気・ガス・石油・金融・情報通信など特定社会基盤事業者が導入する「特定重要設備」およびその構成設備の供給者(ベンダー)を対象に、経済安全保障推進法が求める「不正プログラムの混入防止」や「サイバーセキュリティ対策」への対応を支援する新サービスを開始いたしました。
■背景と目的
経済安全保障推進法(特定社会基盤役務の安定的な提供の確保に関する制度)では、基幹インフラの安全性を確保するため、サプライチェーン全体における不正機能(バックドア・ウイルス等)の混入防止および検知が不可欠な要件とされ、品質保証体制の確立等が求められています。
これに伴い、設備を納入する供給者(ベンダー)は、以下のフェーズにおいて、従来以上に高度な安全管理措置と、その妥当性に関する客観的な証明(エビデンス)を求められるようになりました。
・開発・製造段階: ソースコードや構成機器に対する不正プログラムの検査(ウイルスチェック、ソースコード診断等)
・配送・保守段階: アップデートファイル等に対する改ざん防止およびウイルスチェック体制の構築
・脆弱性対応: 未知の脅威や脆弱性に対する継続的な検知・対応機能の確保
JaSROはこれまで、政府情報システムのためのセキュリティ評価制度(ISMAP)や、米国国防総省のサイバーセキュリティ基準(CMMC 2.0)への対応支援において豊富な実績を積み上げてまいりました。これらの知見を活かし、経済安全保障推進法の要件に適合した対策を統合的に支援することで、ベンダー側の二重投資を抑制し、効率的かつ強固なセキュリティ証明の構築を実現します。
■業種別・特定重要設備への対応例
本サービスでは、各業界特有のシステム構成やリスクシナリオに基づいた支援を行います。
・エネルギー(電力・ガス・石油)分野
対象例:給電指令システム、ガス遮断制御システム、スマートメーター関連設備等。
支援内容:制御システム(OT)特有の長期運用を前提とした脆弱性管理体制の構築や、保守用端末・リモートメンテナンス経路における不正プログラム混入防止対策の検証。
・金融(銀行・クレジットカード)分野
対象例:勘定系システム、決済ネットワーク接続設備、クラウド基盤等。
支援内容:ISMAP準拠の知見を活かしたクラウド利用環境の安全性評価、および外部委託先(SIerやパッケージベンダー)を含めた多重サプライチェーンのガバナンス構築支援。
・情報通信・放送分野
対象例: 基幹ネットワーク交換機、無線基地局設備、放送送出システム等。
支援内容: 通信機器のファームウェア・アップデート時における真正性確認プロセスの検証、およびグローバルな機器サプライチェーンにおけるリスク評価。
・水道(上水道等)分野
対象例:取水・送水ポンプ制御システム、中央監視制御装置(SCADA)、水質計装・自動塩素注入システム、テレメータ(遠隔監視)設備、工業用水道供給管理システム等。
支援内容:物理的な広域ネットワーク(テレメータ)を含むネットワーク分離の妥当性検証。特に、塩素注入等のクリティカルなプロセスに対する不正操作防止策や、保守業者による現場持ち込み端末の検疫ルール、および老朽化設備(レガシーOS)を保護するための代償コントロール(仮想パッチ等)の導入・検証。
■提供サービスの概要
特定重要設備の導入・維持管理において推奨される対策に対し、以下の支援を提供します。
・体制構築支援
経済安全保障推進法の審査基準に適合した社内規程の整備、開発・製造プロセスの最適化、品質およびリスク管理体制の構築を支援します。
・第三者検証および証明書の発行
構築された対策や機器に対し、中立的な第三者機関として検証を実施し、証明書を発行します。本証明書は、特定社会基盤事業者が主務大臣へ提出する「導入計画・維持管理計画」の際の、客観的なエビデンスとしての活用を想定しています。
■本サービスに関するお問い合わせ
制度への対応や支援サービスに関するご説明(Web面談等)を随時承っております。
・お問い合わせ先(E-mail): info@jasro.org
【参考情報:JaSROの評価・支援実績】
1. 機器検証サービス
政府「情報セキュリティサービス基準」に適合しており、客観的な検証を提供します。
・機器検証サービス紹介資料(PDF: https://www.jasro.org/images/Equipment%20Verification%20Services.pdf )
・政府「情報セキュリティサービス基準」に適合( http://jasro.org/news/pdf/JaSRO_NewsRelease_20241009.pdf )
2. 主な評価・格付取得事例
当機構の評価は、国内トップクラスの企業様に採用されています。
・富士フイルムビジネスイノベーション株式会社 様 米国基準(NIST SP800-171/172)への準拠性評価において「AAA」を取得
ニュースリリース(2026/01/15): https://www.jasro.org/news/pdf/JaSRO_NewsRelease_20260115.pdf
新聞記事(電子版): https://www.nikkei.com/article/DGXZRSP646952_Y2A221C2000000/
・NRIセキュアテクノロジーズ株式会社 様 「クリプト便」が15年連続で情報セキュリティ格付け最高位「AAA」を取得 ニュースリリース(2025/09/29): https://www.jasro.org/news/pdf/JaSRO_NewsRelease_20250929.pdf
・三谷産業株式会社 様 データセンター・アウトソーシングサービスにおいて「AAA」を取得 ニュースリリース(2025/06/09): https://www.jasro.org/news/pdf/JaSRO_NewsRelease_20250609.pdf
・株式会社クマヒラ・株式会社熊平製作所 様 セキュリティシステムGGシリーズ『20年セキュリティのお約束』に対する第三者評価を12年連続継続 公表文サマリー(PDF: https://www.jasro.org/company/pdf/summary_kumahira20250210.pdf )
〇JaSROは、世界初の情報セキュリティ格付を行う第三者評価機関です。
〇情報管理の対策水準を「格付」で確かめ合う社会システム作りに取り組んでいます。
〇政府情報システムのためのセキュリティ評価制度(ISMAP)や米国国防総省サイバーセキュリティ成熟度モデル(CMMC2.0)の構築支援・内部監査支援を行っています。
<お問い合わせ先>
一般社団法人日本セキュリティ格付機構
企画部
E-mail:info@jasro.org
