セキュリティ仕様の検討プロセス のバックアップ(No.6)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- セキュリティ仕様の検討プロセス へ行く。
セキュリティ仕様の合意 †
セキュリティ仕様を合意するためには、「守るべきものは何か」「どのように守るか」「費用対効果は適切か」という観点についてユーザー、ベンダーがNDAを締結した上で、正しく共有する必要があります。正しく適切なセキュリティ仕様は、ユーザーの正確な情報提供義務が必須です。
また、ベンダーは情報に基づくリスク分析、技術的対策の検討、費用対効果を分かりやすく説明し、プロジェクトを成功に導く専門家としての義務があります。
ユーザーのやるべきこと †
システムの重要な情報資産の明確化とリスクの検討 †
- 対象となる法規制の明確化
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
特に個人情報保護法は3年ごとの見直しがあり、これに連携し、業界向けのガイドラインの改定もあることから注意が必要です。 - GDPRを始めとする他国の規制について、関連があれば文書化します。
- 自社が受ける法的な規制やガイドラインを明確化し、本件システムが規制対象となる場合の法令等と遵守事項、罰則などを文書化します。
- 構築するシステムで取り扱う重要な情報資産の明確化
- 個人情報が含まれる場合、要配慮個人情報や機微(センシティブ)情報(金融ガイドライン)などが含まれるかを文書化します。また、関連する個人情報を取り扱うすべての部署、担当者(パートやアルバイト、外注業者も含む)の入出力に関する権限(入力、閲覧、加工、出力)も文書化します。
- 営業情報が含まれる場合、インサイダー取引の対象となるかを明確化します。個人情報と同様に関連する関係者の入出力に関する権限を文書化します。
- 知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク、社会的被害や金銭的被害を検討し、文書化します。
- 情報資産はできるだけ持たないことを念頭に置き、必要のない情報は物理的な資産を含め削除・廃棄します。
- 経営陣との合意
- 重要な情報資産が漏洩したり公開された場合の、ステークホルダーの社会的被害と損害賠償額、逸失利益、再発防止や信用回復に係る活動について可能な限り金銭的に算出します。また、企業存続へのインパクトも検討します。
- 重要な情報資産へのアクセス停止(不法な暗号化や改ざん、滅失)に伴うインパクトを金銭的に算出します。これには、システムの再構築やデータの再入力も考慮します。
- 以上を整理し、システム構築費におけるセキュリティ対策費用のバランスを経営陣とともに検討し合意します。
システムのネットワーク構成の明確化 †
機密性、完全性、可用性を維持するためには、セキュリティ設定の大前提となるシステムの正確なネットワーク構成情報が必須です。必要な範囲をベンダーと確認しながら共有し、想定外の経路からの攻撃や侵入を防止しなければなりません。
- IPアドレス構成(セグメント単位)
- セグメントごとの許可されているプロトコル
- ルーティング情報
- Firewall設定
- VPN構成(セグメント、プロトコル、認証方式等)
- 公開サーバー情報(公開プロトコル、制御接続方式、認証方式、DMZ構成等)
- 重要資産を保存しているサーバー情報(IP、機微情報の有無、項目、暗号化の有無、保存方式)
- 重要資産にアクセスする端末情報(IP、アクセスが許可される項目、ローカルの保存の有無、保存方式)
昨今、働き方改革で、在宅勤務や社外サテライトから企業ネットワークに接続する機会が増えています。
社外ネットワークに接続されるNotePCやスマートフォンのセキュリティ維持は、健全な企業ネットワーク維持につながります。在宅勤務で使用するPCと家庭内ネットワークの健全性もまったく同様といえます。企業ネットワークに脆弱性がなくとも、在宅時に接続するルーターやPCに脆弱性があれば重大な脅威となります。
以上に加えて、別途、構成中や将来的に変更されるネットワーク構成があれば、それらも事前にベンダーと共有することが必要です。
運用方針の明確化 †
運用方針をベンダーと共有し、運用に見合ったシステム構成の提案を受ける必要があります。
- 重要資産の保管場所への物理的アクセスの制限
- 修正プログラムの適用方針(対象、適用する時期、テスト等)
- 管理者の接続制御(認証方法、セグメントの分離や物理的制限等)
- 一般ユーザーに付与されている権限
- 開発者に付与されている権限
- ログの保全、監査の有無と保存期間
ベンダーのやるべきこと †
セキュリティ要件の明確化 †
ベンダーは、ユーザーが事前に実施した前項の「システムの重要な情報資産の明確化とリスクの検討」、「システムのネットワーク構成の明確化」、「運用方針の明確化」が契約の対象となるシステムが及ぼす範囲で漏れがないか確認します。