IPA(独立行政法人情報処理推進機構)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給に際して、そのシステムのオーナーである管理者が必要な対策を策定するための「重要情報を扱うシステムの要求策定ガイド」を7月18日に公開した。
通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求される。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっている。
そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めた。
同ガイドは、管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対策を検討しながら要求項目を取捨選択できるよう、次の3ステップでシステムの要求策定を支援する。
❶ システムの特性評価
まずシステムの特性を9つの項目で評価し、「享受したい内容」を見極める。9つの項目は「自律性」確保と「利便性」確保の2つに大別される。
自律性の観点では「データの漏洩・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極める。利便性の観点では変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極める。
❷ 問題・リスク/利便性要素の選定
次に、❶で整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にしていく。
自律性では、サービスの構成要素を5つ(データ、運用、ソフトウェア、ハードウェア、データセンター・通信)に大別し、それぞれ問題・リスクを洗い出したうえで対策を示している。
利便性では、ビジネス環境や技術環境の変化に対応するための要素を7つ示し、その対策を紐づけている。樹形図を俯瞰することで、どの問題・リスクに対策を講じるべきか、どの利便性の要素をどの対策で得るべきかを検討しやすくなる(図表1)。
❸ 必要な対策の選定
最後に、明確化した「問題・リスク」や、「利便性の要素」に紐づく「対策」を樹形図から選定し、「対策」ごとの目的と詳細内容(要求項目)を確認する。
同ガイドでは、対策、目的、詳細内容(要求項目)を表で一覧として示すことで、管理者が目的を理解しながら要求項目を選定できるようにしている。たとえば、「暗号鍵の安全・分離保存」という対策には、「暗号鍵をデータと別保管することで、データと暗号鍵を同時に奪われることを防止する」との目的が示され、「データの暗号鍵に運用者が通常の手段でアクセスできないこと」等の要求項目が明示されている(図表2)。
IPAは本ガイドの利用により、管理者がシステムの特性や想定されるリスクを踏まえた要求項目を明文化してベンダーと共有することで、より的確なシステム構築・調達・運用ができることを期待している。今後も環境変化や技術の進展を踏まえ、同ガイドを逐次改訂していく予定である。
[i Magazine・IS magazine]
