株式会社日本オープンシステムズ(富山県富山市)は、自社が提供する「ペネトレーションテスト(侵入試験)サービス」が、経済産業省の「情報セキュリティサービス基準」に基づく審査を経て「情報セキュリティサービス基準適合サービスリスト」の「脆弱性診断サービス」に追加登録されたと発表した。北陸(富山・石川・福井)に本社を置く事業者の登録は初となる(同社調べ)。
本登録は、経済産業省が設ける「情報セキュリティサービス基準審査登録制度」に基づき、第三者機関である特定非営利活動法人日本セキュリティ監査協会(JASA)が審査し、独立行政法人情報処理推進機構(IPA)が公開する。技術要件・品質管理要件を満たしたサービスとして認められたものであり、企業や自治体がセキュリティサービスを選定する際の信頼性指標として活用されている。JOPSにとって、自社のセキュリティ事業強化の一環に位置付けられる取り組みだ。
北陸初の登録で認定拡大へ
今回登録されたペネトレーションテストは、2024年12月に「脆弱性診断サービス」のオプション区分として新設された対象領域だ。同社は2021年9月に同区分で既に登録を受けており、追加登録により侵入試験を含めた診断体制が拡充された。リストは5区分で構成され、登録企業のみが公的制度の対象としてIPAに掲載される仕組みとなっている。
同サービスでは、ホワイトハッカーが実際の攻撃手法を模擬してシステムの耐性を検証する。Webアプリケーションに加え、ネットワーク機器や通信経路を含むインフラ層までを対象範囲に設定し、ツールでは検出が困難なリスクも洗い出す仕組みをとっている。
制度運用の枠組みと登録体制
審査を担う日本セキュリティ監査協会(JASA)は、登録希望企業の技術要件および品質管理体制を評価し、経済産業省の定める基準に適合した場合に独立行政法人情報処理推進機構(IPA)が公式リストへ掲載する構成をとっている。JOPSの登録もこの枠組みに従って実施された。
JOPSでは富山を拠点とし、東京、長野、金沢、名古屋に事業所を展開する。システム構築・運用の知見を基にクラウドやセキュリティ領域でのサービス提供を進めており、今回の登録によりサイバー攻撃手法の高度化に伴う対応強化を図る体制を示した形だ。
登録内容はIPAのウェブサイト上で確認できる形式をとる。
同社は2021年以降、脆弱性診断サービスの認定を受けた上で、今回の侵入試験サービスを追加する形で審査を経た。単発ではなく連続した登録となっており、継続的な基準適合の履歴を有する。今回の認定により、同社が提供する脆弱性診断と侵入試験を含む各サービスが国の基準に沿った品質を公的に示すことになった。