独立行政法人情報処理推進機構(IPA)は7月29日、「重要情報を扱うシステムの要求策定ガイド(別冊)活用の手引き」を公開した。同ガイドは、IPAが2023年7月に公開した「重要情報を扱うシステムの要求策定ガイド」の手引書となるもの。
「重要情報を扱うシステムの要求策定ガイド」(以下、重要システムガイド)は、重要情報を扱うシステムにおけるサービスの安定供給にあたり、そのシステムのオーナーである管理者が、必要な対策を策定できるようにするためのガイドであり、経済産業省からの要請を受けてIPAが作成した。
具体的には、今まで予測していなかった日本法と抵触する法体系の不正執行や運用者の不正操作などが起こった場合に、事業者が客観的な状況の把握と説明を行うとともに事態を収拾できるように、「システムの特性評価」「問題・リスク/利便性要素の選定」「必要な対策の選定」の3つのステップで対策方法を示している。
重要システムガイドでは、事業者自らがシステムを取り巻く環境の変化を捉え、それに伴う問題・リスクを整理し、対策を考えることを軸としている。今回公開された「重要情報を扱うシステムの要求策定ガイド(別冊)活用の手引き」は、「事業者自らが対策を策定」した場合の効果を手引きとしてまとめたもの。
主な効果として、緊急時の備え、悪意のある攻撃者への対応及びシステム運用を長期的な視点でとらえた場合の投資対効果の高いサービスの選択を挙げている。特に、「ブラックボックス化」の課題があるクラウドの活用にフォーカスしており、「緊急時の対応」「悪意のある攻撃者への対応」「投資対効果効果の高いサービスの選択」の3つのケースを詳しく紹介している。
