2023年7月18日
独立行政法人情報処理推進機構
プレス発表 「重要情報を扱うシステムの要求策定ガイド」を公開
~自律性と利便性を両立するシステムのための要求策定プロセスを支援~
IPA(独立行政法人情報処理推進機構、理事長:齊藤裕)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定するための「重要情報を扱うシステムの要求策定ガイド」を本日公開しました。
URL:
https://www.ipa.go.jp/digital/kaihatsu/system-youkyu.html
通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。
本ガイドは、管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対策を検討しながら要求項目を取捨選択できるよう、次の3ステップでシステムの要求策定を支援します。
1. システムの特性評価
まず、システムの特性を9つの項目で評価し、「享受したい内容」を見極めます。9つの項目は「自律性」確保と「利便性」確保の2つに大別され、自律性の観点では「データの漏洩・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極めます。利便性の観点では変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極めます。
2. 問題・リスク/利便性要素の選定
次に、1で整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にしていきます。自律性では、サービスの構成要素を5つ(データ、運用、ソフトウェア、ハードウェア、データセンター・通信)に大別し、それぞれ問題・リスクを洗い出したうえで対策を示しています。利便性では、ビジネス環境や技術環境の変化に対応するための要素を7つ示し、その対策を紐づけています。樹形図を俯瞰することで、どの問題・リスクに対策を講じるべきか、どの利便性の要素をどの対策で得るべきかを検討しやすくなります。(図1)
図1. 利便性確保のための要求項目一覧
3. 必要な対策の選定
最後に、明確化した「問題・リスク」や、「利便性の要素」に紐づく「対策」を樹形図から選定し、「対策」ごとの目的と詳細内容(要求項目)を確認します。本ガイドでは、対策、目的、詳細内容(要求項目)を表で一覧として示すことで、管理者が目的を理解しながら要求項目を選定できるようにしています。例えば、「暗号鍵の安全・分離保存」という対策には、「暗号鍵をデータと別保管することで、データと暗号鍵を同時に奪われることを防止する」との目的が示され、「データの暗号鍵に運用者が通常の手段でアクセスできないこと」等の要求項目が明示されています。(図2)
図2.自律性確保のための要求項目一覧(データ)
IPAは本ガイドの利用により、管理者がシステムの特性や想定されるリスクを踏まえた要求項目を明文化してベンダーと共有することで、より的確なシステム構築・調達・運用ができることを期待しています。今後も環境変化や技術の進展を踏まえ、本ガイドを逐次改訂していく予定です。
本ガイドは、IPAのウェブサイトからダウンロード可能です。
URL:
https://www.ipa.go.jp/digital/kaihatsu/system-youkyu.html