独立行政法人 情報処理推進機構(IPA)は7月18日、 「重要情報を扱うシステムの要求策定ガイド」を公開した。同ガイドは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できることを目的としたもの。
基本的に、重要情報を扱うシステムを持つ企業の管理者を対象としたもので「自社で構築する場合」「外部委託をする場合」「クラウドサービスなどを利用する場合」それぞれに、「利便性」と「自律性」の観点から要求項目を策定し、必要な対策を行えるようにする。あくまでガイドであり、監査が行われるわけではない。
通信や電力などをはじめとする重要情報を扱うシステムには、サービスの安定供給が強く求められる。非平常時でも自らの統制力を確保する「自律性」が要求されることに加え、ビジネス環境や技術環境のめまぐるしい変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっている。
同ガイドは、管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対策を検討しながら要求項目を取捨選択できるよう、「システムの特性評価」「問題・リスク/利便性要素の選定」「必要な対策の選定」の3ステップでシステムの要求策定を支援するものとなっている。
「システムの特性評価」では、自律性5項目、利便性4項目の9項目で評価し、「享受したい内容」を見極める。具体的には、自律性の観点では「データの漏洩・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極める。
利便性の観点では変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極める。ガイドでは、通信および金融における参考例を示している。
「問題・リスク/利便性要素の選定」では、一つ目のステップで整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にする。自律性では5つのサービスの構成要素、利便性では変化に対応するための7つの要素を設定しており、樹形図により対策を紐づけて検討できるようにしている。
「必要な対策の選定」では、選定した「対策」ごとの目的と詳細内容(要求項目)を確認する。ガイドには、対策、目的、詳細内容(要求項目)が表にまとめられているので、管理者は目的を理解しながら要求項目を選定できる。
IPAでは、同ガイドの利用により、管理者がシステムの特性や想定されるリスクを踏まえた要求項目を明文化してベンダーと共有することで、より的確なシステム構築・調達・運用ができることを期待している。なお、ガイドは今後逐次改訂される予定。
