その他令和7年8月29日
供給者との合意における情報セキュリティの取扱い及びICTサプライチェーン管理策
掲載日
令和7年8月29日
号種
号外
原文ページ
p.116 - p.117
号外p.116-p.117
出典:官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
原文確認推奨
抽出テキストだけで判断せず、必要に応じて原文画像または PDF で確認してください。
出典・注意
官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
本文と原文の対照
まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。
← 同日の官報に戻る
原文対照の表示オプション
供給者との合意における情報セキュリティの取扱い及びICTサプライチェーン管理策
令和7年8月29日|p.116-117
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
911 1961 日曜 日曜 日67目67日67目67日
4)供給者又は内部委託の変更における情報の移行性
5)記録管理
6)資産の返却
7)情報及びその他の関連資産のセキュリティに配慮した
処分
8)機密保持の要求の継続
n)供給者の要員及び設備に期待する要員セキュリティ及び物理
的セキュリティのレベル
代替の製品又はサービスの手配の遅延を回避するため、供給者がそ
の製品又はサービスを提供できなくなった場合に情報処理を継続す
るための手順を検討する.
5d-5.20供給者との合意における情報セキュリティの取扱い
管理策:供給者関係の種類に応じて、関連する情報セキュリティ要求事項を確立し、各供給者
と合意する。
目的:供給者関係において合意したレベルの情報セキュリティを維持するため,
詳細管理策
5d-5.20.1
関連する情報セキュリティ要求事項を満たすという両当事者の義務
に関し、組織と供給者との間に明確な理解が得られることを確実に
するために、供給者との合意を確立し、これを文書化する。
(5d-5.20.1参考)
特定された情報セキュリティ要求事項を満たすために、合意には、
次の事項を含めることを考慮することが可能である。
a)提供し又はアクセスされる情報の記載、及び提供方法又はア
クセス方法の記載
b)組織の分類体系に従った情報の分類
c)組織の分類体系と供給者の分類体系との間の対応付け
d)法令、規制及び契約上の要求事項、並びにこれらの要求事項
を満たすことを確実にする方法についての記載
e)契約の各当事者に対する、合意した一連の管理策の実施の義
務、及び供給者に対する、組織の情報セキュリティ要求事項
の順守の義務
f)情報及びその他の関連資産の許容される利用に関する規則。
必要な場合、許容されない利用についての規則も含める。
g)供給者の要員による組織の情報及びその他の関連資産の使用
を認可する場合及びその認可を解除する場合の手順又は条件
h)供給者のICT基盤に関する情報セキュリティ要求事項。特
に、組織の事業上のニーズ及びリスク基準に基づき、個々の
供給者との合意の基礎となる、情報の種類及びアクセスの種
類それぞれについての最小限の情報セキュリティ要求事項
i)請負業者が要求事項を満たさなかった場合の補償及び是正
i)インシデント管理の要求事項及び手順(特に、インシデント
からの回復中の通知及び協力)
k)特定の手順及び情報セキュリティ要求事項についての訓練及
び意識向上に関する要求事項
1)下請負供給者の使用に関する合意など、実施する必要のある
管理策を含む、下請負契約に関する該当する規定
m)情報セキュリティに関する連絡先担当者も含む、関連する連
先將
n)法的に許容される場合、供給者の要員の選考に関する要求事
項。この要求事項には、選考を実施する責任、及び選考が完
了しなかった場合又は選考の結果、疑い若しくは懸念が生じ
た場合に行う通知の手順も含める。
o)供給者のプロセスに関連する情報セキュリティ要求事項につ
いての第三者立証の証拠及び保証の仕組み、並びに管理策の
有効性に関する独立した報告書
p)合意に関わる、供給者のプロセス及び管理策を監査する権利
a)管理策の有効性について、報告書を定期的に提出する供給者
の義務、及び報告書で提起された問題を適時に修正すること
に関する合意
r)合意上の問題点の解決及び紛争解決のプロセス
s)組織のニーズに合わせたバックアップの提供(頻度及び種類
並びに保管場所の点で)
t)主要設備と同じ脅威にはさらされない代替設備(すなわち、
災害回復サイト)の可用性を確実にすること、及び主要管理
策が失敗した場合のフォールバック管理策(代替管理策)の
考慮
u)組織への事前通知を確実にする変更管理プロセスをもつこと、
及び組織が変更を受け入れない可能性
)情報の分類に合った物理的セキュリティ管理策
w)物理的輸送又は論理的送信中に情報を保護するための情報の
転送の管理策
x)記録管理、資産の返却、情報及びその他の関連資産のセキュ
リティに配慮した処分、並びに継続的な機密保持義務を含む、
合意締結時に定める終了条項
v)供給者が保存している組織の情報を、不要になり次第、セキュ
リティに配慮して破壊する方法の規定
z)契約の終了時に、別の供給者又は組織自らへの引継ぎの支援
を確実にすること
5d-5.20.2
組織は、自らの情報がどこへ渡っているかを追跡するために、外部
関係者との合意の登録簿を作成し、維持する。
5d-5.20.3
組織はまた、外部関係者との合意を定期的にレビューし、妥当性を
確認し、更新して、それらが依然として必要であり、関連する情報
セキュリティ条項によって目的に適合することを確実にする。
5d-5.21ICTサプライチェーンにおける情報セキュリティの管理
管理策:ICT製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管
理するためのプロセス及び手順を定め、実施する。
目的:供給者関係において合意したレベルの情報セキュリティを維持するため、
詳細管理策
5d-5.21.1供給者関係に関する一般的な情報セキュリティ要求事項に加えて、
ICTサプライチェーンセキュリティにおける情報セキュリティに
対処するために、次の事項を考慮する。
a)ICT製品又はサービスの取得に適用する情報セキュリティ
要求事項を定める。
(合961 ) (3
報告
(佳961第66) 19 11
b)供給者が組織に提供するICTサービスの一部を下請負契約
に出す場合には、そのサプライチェーン全体に組織のセキュ
リティ要求事項を伝達するようICTサービスの供給者に要
求する。
c)ICT製品に関して、その製品に他の供給者又は他のエンティ
ティから購入又は取得した構成要素が含まれる場合には、そ
のサプライチェーン全体に適切なセキュリティ慣行を伝達す
るようICT製品の供給者に要求する。
d)ICT製品の供給者に、製品で使用しているソフトウェア構
成要素を記載した情報を提供するよう要求する.
e)ICT製品の供給者に、自らの製品が実装するセキュリティ
機能及びそのセキュリティに配慮した運用に必要な構成を説
明する情報を提供するよう要求する。
f)提供されたICT製品及びサービスが規定のセキュリティ要
求事項を順守していることを確認するための、監視プロセス
及び許容可能な監視方法を実施する。このような供給者し
ビュー方法の例に、侵入テスト、及び供給者の情報セキュリ
ティ運用に関する第三者立証の検証又は妥当性確認がある。
g)製品又はサービスの機能を維持するために重要な構成要素を
特定し、文書化するプロセスを実施する。重要な構成要素に
対しては、組織の外で作られる場合に必要とされる注意、精
査及び更なるフォローアップの強化が求められる(特に、供
給者が製品又はサービスの構成要素を他の供給者に外部委託
する場合。)。
h)重要な構成要素及びその供給元が、サプライチェーン全体を
通じて追跡可能であるという保証を得る。
i)提供されるICT製品が期待どおりに機能し、予期しない又
は好ましくない特性をもたないという保証を得る。
i)供給者からの構成要素が真正のものであり、その仕様から変
更されていないことを確実にするためのプロセスを実施する。
対策の例に、改ざん防止ラベル、暗号ハッシュ検証又はディ
ジタル署名がある。仕様外の動作を監視することが、改ざん
又は偽造を見つける手掛りとなる可能性がある。改ざんの防
止及び検知は、設計、開発、統合、運用及び保守を含むシス
テム開発ライフサイクルの複数の段階で実施する。
k)ICT製品が、例えば、正式な認証又は共通基準承認アレン
ジメント
(Common Criteria Recognition Arrangement)などの評価
体系を通じて、必要なセキュリティレベルを達成しているこ
との保証を得る。
1)サプライチェーンについての情報、並びに組織と供給者との
間で生じる可能性のある問題及び妥協についての情報を共有
するための規則を定める.
m)ICT構成要素のライフサイクル及び継続的な使用、並びに
これに関連するセキュリティリスクを管理するための具体的
なプロセスを実施する。このプロセスには、その構成要素が
入手できなくなる(供給者が事業を営まなくなる、又は技術
進歩によって供給者がその構成要素を提供しなくなる)とい
うリスクを管理することも含まれる。代替供給者の特定、並
びにソフトウェア及び力量を代替供給者に移転するプロセス
を検討する。
5d-5.22供給者のサービス提供の監視、レビュー及び変更管理
管理策:組織は、供給者の情報セキュリティの活動及びサービス提供を定営的に監視し、レ
ビューし、評価し、変更を管理する。
1的:供給者との合意に沿って、合意したレベルの情報セキュリティ及びサービス提供を維
持するため。
詳細管理策
5d-5.22.1
供給者のサービスを監視し、レビューし、変更管理することによっ
て、次の点を確実にする。
a)合意における情報セキュリティの条件の順守
b)情報セキュリティのインシデント及び問題の適切な管理
c)供給者のサービスの変更又は事業状況の変化がサービス提供
に影響を与えないこと
5d-5.22.2
供給者のサービスの監視、レビュー及び変更管理は、次のために、
組織と供給者との間の関係を管理するプロセスを含む。
a)合意の順守を検証するために、サービスのパフォーマンスレ
ベルを監視する。
b)次の事項を含む供給者による変更を監視する。
1)現在提供されているサービスの強化
2)新しいアブリケーション及びシステムの開発
3)組織の諸方針及び諸手順の、変更又は更新
4)情報セキュリティインシデントの解決及び情報セキュ
リティの改善のための、新たな又は変更した管理策
c)次の事項を含む供給者サービスの変更を監視する。
1)ネットワークの変更及び強化
2)新技術の利用
3)新製品又は新しい版若しくはリリースの採用
4)新たな開発ツール及び開発環境
5)サービス設備の物理的設置場所の変更
6)下請負供給者の変更
7)他の供給者への下請負契約
d)供給者の作成したサービスの報告をレビューし、合意で求め
ている定期的な進捗会議を設定する。
e)独立した監査人の報告書が入手できれば、これのレビューと
併せて供給者及び下請負供給者の監査を実施し、特定された
問題の追跡調査を行う.
f)合意書並びに全ての附属の指針及び手順書の要求に従い、情
報セキュリティインシデントの情報を提供し、その情報をレ
ビューする。
g)供給者の監査証跡、情報セキュリティ事象の記録、運用上の
問題の記録、故障記録、障害履歴及び提供サービスに関連す
る事業の中断・阻害の記録をレビューする。
p.116 / 2
読み込み中...
テキスト領域
選択中
非公開 (PII)
関連する新着公告を見逃さないために
Pro プランでは会社名・機関名・キーワードを監視条件として保存し、新着掲載を継続確認できます。14日間無料で試せます。
監視機能の詳細を見る →