IPA、「重要情報を扱うシステムの要求策定ガイド」を公開　3ステップでシステムの要求策定を支援

　独立行政法人情報処理推進機構（以下、IPA）は18日、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定するための「重要情報を扱うシステムの要求策定ガイド」を公開した。ガイドは、IPAのウェブサイトからダウンロードできる。

　通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求される。一方で、ビジネス環境や技術環境が変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっている。

　そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるよう、ガイドを定めた。

　ガイドは、管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対策を検討しながら要求項目を取捨選択できるよう、3ステップでシステムの要求策定を支援する。

　1ステップ目の「システムの特性評価」では、システムの特性を9つの項目で評価し、「享受したい内容」を見極める。9つの項目は、「自律性」確保と「利便性」確保の2つに大別され、自律性の観点では「データの漏えい・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極める。利便性の観点では、変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極める。

　2ステップ目の「問題・リスク／利便性要素の選定」では、1ステップ目で整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にしていく。自律性では、サービスの構成要素を5つ（データ、運用、ソフトウェア、ハードウェア、データセンター・通信）に大別し、それぞれ問題・リスクを洗い出した上で対策を示している。利便性では、ビジネス環境や技術環境の変化に対応するための要素を7つ示し、その対策をひも付けている。樹形図を俯瞰（ふかん）することで、どの問題・リスクに対策を講じるべきか、どの利便性の要素をどの対策で得るべきかを検討しやすくなる。

利便性確保のための要求項目一覧

　3ステップ目の「必要な対策の選定」では、明確化した「問題・リスク」や、「利便性の要素」にひも付く「対策」を樹形図から選定し、「対策」ごとの目的と詳細内容（要求項目）を確認する。ガイドでは、対策、目的、詳細内容（要求項目）を表で一覧として示すことで、管理者が目的を理解しながら、要求項目を選定できるようにしている。例えば、「暗号鍵の安全・分離保存」という対策には、「暗号鍵をデータと別保管することで、データと暗号鍵を同時に奪われることを防止する」との目的が示され、「データの暗号鍵に運用者が通常の手段でアクセスできないこと」などの要求項目が明示されている。

自律性確保のための要求項目一覧（データ）

　IPAは、ガイドの利用により、管理者がシステムの特性や想定されるリスクを踏まえた要求項目を明文化してベンダーと共有することで、より的確なシステム構築・調達・運用ができることを期待していると説明。今後も、環境変化や技術の進展を踏まえ、ガイドを逐次改訂していく予定としている。