情報システム開発契約のセキュリティ仕様作成のためのガイドライン
セキュリティ仕様の検討プロセス
をテンプレートにして作成
開始行:
[[FrontPage]]
*セキュリティ仕様の合意 [#e02ed8b0]
セキュリティ仕様を合意するためには、「守るべきものは何か...
また、ベンダーは情報に基づくリスク分析、技術的対策の検討...
**防御側の課題 [#oc325739]
-モバイルを前提とした場合、ユーザー認証をオフラインでやら...
-このため、ローカルにユーザー認証を行う仕組みが必要だが攻...
-自動起動、スクリプト、リモート操作はなどマルウェアにとっ...
-ユーザーの誤操作の存在
-攻撃側の手法の高度化が進み、従来型の対策では追い付かない
**防御側の戦略 [#nddf8c3f]
-ユーザー教育が重要
-侵入を前提とし、早期検出と被害の最小化を優先する
-あらゆるノイズを含めた振る舞いを組織全体で収集・分析でき...
--侵入されたことが判明した場合、遮断の実行と振る舞い分析...
--他の侵入事例も後から解析し直すことで検出でき、バリエー...
--グループを含めた幅広い組織全体の参画でより精度が高まり...
-ハードウェア、ソフトウェア資産の情報収集
--それぞれのバージョン、脆弱性管理の実施
--自動化の試みもしくは自動化可能な資産との入れ替え
**ユーザーのやるべきこと [#b35758a2]
***システムの重要な情報資産の明確化とリスクの検討 [#t022c...
-対象となる法規制の明確化
--自社が受ける法的な規制やガイドラインを明確化し、本件シ...
特に個人情報保護法は3年ごとの見直しがあり、これに連携し、...
--GDPRを始めとする他国の規制について、関連があれば文書化...
-構築するシステムで取り扱う重要な情報資産の明確化
--個人情報が含まれる場合、要配慮個人情報や機微(センシテ...
--営業情報が含まれる場合、インサイダー取引の対象となるか...
--知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク...
--情報資産はできるだけ持たないことを念頭に置き、必要のな...
-経営陣との合意
--重要な情報資産が漏洩したり公開された場合の、ステークホ...
--重要な情報資産へのアクセス停止(不法な暗号化や改ざん、...
--以上を整理し、システム構築費におけるセキュリティ対策費...
***システムのネットワーク構成の明確化 [#oeaff270]
機密性、完全性、可用性を維持するためには、セキュリティ設...
-IPアドレス構成(セグメント単位)
-セグメントごとの許可されているプロトコル
-ルーティング情報
-Firewall設定
-VPN構成(セグメント、プロトコル、認証方式等)
-公開サーバー情報(公開プロトコル、制御接続方式、認証方式...
-重要資産を保存しているサーバー情報(IP、機微情報の有無、...
-重要資産にアクセスする端末情報(IP、アクセスが許可される...
昨今、働き方改革で、在宅勤務や社外サテライトから企業ネッ...
社外ネットワークに接続されるNotePCやスマートフォンのセキ...
以上に加えて、別途、構成中や将来的に変更されるネットワー...
***運用方針の明確化 [#i130d8f9]
運用方針をベンダーと共有し、運用に見合ったシステム構成の...
-重要資産の保管場所への物理的アクセスの制限
-修正プログラムの適用方針(対象、適用する時期、テスト等)
-管理者の接続制御(認証方法、セグメントの分離や物理的制限...
-一般ユーザーに付与されている権限
-開発者に付与されている権限
-ログの保全、監査の有無と保存期間
**ベンダーのやるべきこと [#g5fb1fa2]
***セキュリティ要件の明確化 [#i4d3a1d9]
ベンダーはユーザーと共に、前項の「システムの重要な情報資...
-共有した情報が文書として過不足なく管理されているか確認し...
-ユーザーと検討したセキュリティ要件に基づいてRCM等を共有...
-ユーザー側の緩和策とベンダー側の緩和を明確に併記してユー...
--ガイドラインの緩和策は対策推奨度を参考に効率的な対策を...
--残存リスクが許容リスクを下回らずコストが見合わない場合...
---管理するべき情報資産の見直し(業務上必要のない情報資産...
---情報資産の分散管理の改善
---運用管理方法を見直しや、クラウド移行を含めた運用業務の...
---セキュリティ管理業務の自動化による人件費削減
--リスク受容の選択肢も含めユーザーとリスク管理に関する合...
*契約締結 [#o73022dc]
*開発 [#z4715235]
*受入テスト [#xe7729f6]
*稼働 [#h210a1e9]
終了行:
[[FrontPage]]
*セキュリティ仕様の合意 [#e02ed8b0]
セキュリティ仕様を合意するためには、「守るべきものは何か...
また、ベンダーは情報に基づくリスク分析、技術的対策の検討...
**防御側の課題 [#oc325739]
-モバイルを前提とした場合、ユーザー認証をオフラインでやら...
-このため、ローカルにユーザー認証を行う仕組みが必要だが攻...
-自動起動、スクリプト、リモート操作はなどマルウェアにとっ...
-ユーザーの誤操作の存在
-攻撃側の手法の高度化が進み、従来型の対策では追い付かない
**防御側の戦略 [#nddf8c3f]
-ユーザー教育が重要
-侵入を前提とし、早期検出と被害の最小化を優先する
-あらゆるノイズを含めた振る舞いを組織全体で収集・分析でき...
--侵入されたことが判明した場合、遮断の実行と振る舞い分析...
--他の侵入事例も後から解析し直すことで検出でき、バリエー...
--グループを含めた幅広い組織全体の参画でより精度が高まり...
-ハードウェア、ソフトウェア資産の情報収集
--それぞれのバージョン、脆弱性管理の実施
--自動化の試みもしくは自動化可能な資産との入れ替え
**ユーザーのやるべきこと [#b35758a2]
***システムの重要な情報資産の明確化とリスクの検討 [#t022c...
-対象となる法規制の明確化
--自社が受ける法的な規制やガイドラインを明確化し、本件シ...
特に個人情報保護法は3年ごとの見直しがあり、これに連携し、...
--GDPRを始めとする他国の規制について、関連があれば文書化...
-構築するシステムで取り扱う重要な情報資産の明確化
--個人情報が含まれる場合、要配慮個人情報や機微(センシテ...
--営業情報が含まれる場合、インサイダー取引の対象となるか...
--知財情報が含まれる場合、漏洩や公開に伴う競争上のリスク...
--情報資産はできるだけ持たないことを念頭に置き、必要のな...
-経営陣との合意
--重要な情報資産が漏洩したり公開された場合の、ステークホ...
--重要な情報資産へのアクセス停止(不法な暗号化や改ざん、...
--以上を整理し、システム構築費におけるセキュリティ対策費...
***システムのネットワーク構成の明確化 [#oeaff270]
機密性、完全性、可用性を維持するためには、セキュリティ設...
-IPアドレス構成(セグメント単位)
-セグメントごとの許可されているプロトコル
-ルーティング情報
-Firewall設定
-VPN構成(セグメント、プロトコル、認証方式等)
-公開サーバー情報(公開プロトコル、制御接続方式、認証方式...
-重要資産を保存しているサーバー情報(IP、機微情報の有無、...
-重要資産にアクセスする端末情報(IP、アクセスが許可される...
昨今、働き方改革で、在宅勤務や社外サテライトから企業ネッ...
社外ネットワークに接続されるNotePCやスマートフォンのセキ...
以上に加えて、別途、構成中や将来的に変更されるネットワー...
***運用方針の明確化 [#i130d8f9]
運用方針をベンダーと共有し、運用に見合ったシステム構成の...
-重要資産の保管場所への物理的アクセスの制限
-修正プログラムの適用方針(対象、適用する時期、テスト等)
-管理者の接続制御(認証方法、セグメントの分離や物理的制限...
-一般ユーザーに付与されている権限
-開発者に付与されている権限
-ログの保全、監査の有無と保存期間
**ベンダーのやるべきこと [#g5fb1fa2]
***セキュリティ要件の明確化 [#i4d3a1d9]
ベンダーはユーザーと共に、前項の「システムの重要な情報資...
-共有した情報が文書として過不足なく管理されているか確認し...
-ユーザーと検討したセキュリティ要件に基づいてRCM等を共有...
-ユーザー側の緩和策とベンダー側の緩和を明確に併記してユー...
--ガイドラインの緩和策は対策推奨度を参考に効率的な対策を...
--残存リスクが許容リスクを下回らずコストが見合わない場合...
---管理するべき情報資産の見直し(業務上必要のない情報資産...
---情報資産の分散管理の改善
---運用管理方法を見直しや、クラウド移行を含めた運用業務の...
---セキュリティ管理業務の自動化による人件費削減
--リスク受容の選択肢も含めユーザーとリスク管理に関する合...
*契約締結 [#o73022dc]
*開発 [#z4715235]
*受入テスト [#xe7729f6]
*稼働 [#h210a1e9]
ページ名:
