日本セキュリティ格付機構(JaSRO)は、電気・ガス・石油・金融・情報通信などの特定社会基盤事業者が導入する「特定重要設備」およびその構成設備の供給者(ベンダー)を対象とした新サービスを開始しました。
このサービスは、経済安全保障推進法が求める「不正プログラムの混入防止」や「サイバーセキュリティ対策」への対応を支援するものです。
サプライチェーン全体における安全性の確保と、客観的な証明(エビデンス)の構築をサポートします。
日本セキュリティ格付機構「特定重要設備ベンダー向け支援サービス」
経済安全保障推進法では、基幹インフラの安全性を確保するため、サプライチェーン全体における不正機能(バックドア・ウイルス等)の混入防止および検知が不可欠な要件とされています。
これに伴い、設備を納入するベンダーは、開発・製造から保守に至る各フェーズにおいて、高度な安全管理措置とその妥当性に関する客観的な証明を求められるようになりました。
JaSROは、これまでのISMAP(政府情報システムのためのセキュリティ評価制度)や米国国防総省の基準(CMMC 2.0)への対応支援実績を活かし、適合対策を統合的に支援します。
各業界特有のリスクシナリオに基づいた支援内容
このサービスでは、各重要インフラ分野特有のシステム構成に対応した支援が行われます。
【エネルギー(電力・ガス・石油)分野】
対象:給電指令システム、ガス遮断制御システム、スマートメーター関連設備等。
制御システム(OT)特有の長期運用を前提とした脆弱性管理体制の構築や、リモートメンテナンス経路における不正プログラム混入防止対策を検証します。
【金融(銀行・クレジットカード)分野】
対象:勘定系システム、決済ネットワーク接続設備、クラウド基盤等。
ISMAP準拠の知見を活かしたクラウド環境の安全性評価や、外部委託先を含めた多重サプライチェーンのガバナンス構築を支援します。
【情報通信・放送分野】
対象:基幹ネットワーク交換機、無線基地局設備、放送送出システム等。
通信機器のファームウェア・アップデート時における真正性確認プロセスの検証や、グローバルな機器サプライチェーンのリスク評価を行います。
【水道(上水道等)分野】
対象:取水・送水ポンプ制御システム、水質計装・自動塩素注入システム等。
物理的な広域ネットワークを含むネットワーク分離の妥当性を検証します。
特に、塩素注入等のクリティカルなプロセスに対する不正操作防止策や、老朽化設備(レガシーOS)を保護するための代償コントロールの導入を検証します。
提供サービスの概要と第三者検証
特定重要設備の導入・維持管理において推奨される対策に対し、以下の支援が提供されます。
1. 体制構築支援
経済安全保障推進法の審査基準に適合した社内規程の整備を行います。
開発・製造プロセスの最適化に加え、品質およびリスク管理体制の構築を支援します。
2. 第三者検証および証明書の発行
構築された対策や機器に対し、中立的な第三者機関として検証を実施し、証明書を発行します。
この証明書は、特定社会基盤事業者が主務大臣へ提出する「導入計画・維持管理計画」の際の、客観的なエビデンスとして活用可能です。
JaSROの評価・支援実績
JaSROの評価は、国内の主要企業に採用されており、高い信頼性を誇ります。
富士フイルムビジネスイノベーションは、米国基準(NIST SP800-171/172)への準拠性評価において「AAA」を取得しました(2026年1月15日リリース)。
また、NRIセキュアテクノロジーズの「クリプト便」は15年連続で情報セキュリティ格付け最高位「AAA」を取得しています。
その他、三谷産業や、クマヒラ・熊平製作所など、継続的な第三者評価の実績があります。
経済安全保障推進法への対応を効率的かつ強固にするための新たな一手。
ベンダー側の二重投資を抑制する統合的な支援サービスです。
日本セキュリティ格付機構「特定重要設備ベンダー向け支援サービス」の紹介でした。