IPA(情報処理推進機構)は7月18日、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定するための「重要情報を扱うシステムの要求策定ガイド」を公開したと発表した。
通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求される。その一方で、ビジネス環境や技術環境がめまぐるしく変化する今日は、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっている。
そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めたという。
このガイドは、管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対策を検討しながら要求項目を取捨選択できるよう、3ステップでシステムの要求策定を支援する。
まず、システムの特性を9つの項目で評価し、「享受したい内容」を見極める。9つの項目は「自律性」確保と「利便性」確保の2つに大別され、自律性の観点では「データの漏洩・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極める。また、利便性の観点では変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極める。
次に、上記で整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にしていく。自律性では、サービスの構成要素をデータ、運用、ソフトウェア、ハードウェア、データセンター・通信の5つに大別し、それぞれ問題・リスクを洗い出したうえで対策を示している。
利便性では、ビジネス環境や技術環境の変化に対応するための要素を7つ示し、その対策を紐づけている。樹形図を俯瞰することで、どの問題・リスクに対策を講じるべきか、どの利便性の要素をどの対策で得るべきかを検討しやすくなるという。
最後に、明確化した「問題・リスク」や、「利便性の要素」に紐づく「対策」を樹形図から選定し、「対策」ごとの目的と詳細内容(要求項目)を確認する。
このガイドでは、対策、目的、詳細内容(要求項目)を表で一覧として示すことで、管理者が目的を理解しながら要求項目を選定できるようにしている。例えば、「暗号鍵の安全・分離保存」という対策には、「暗号鍵をデータと別保管することで、データと暗号鍵を同時に奪われることを防止する」との目的が示され、「データの暗号鍵に運用者が通常の手段でアクセスできないこと」等の要求項目が明示されている。