Guideline

Software ISAC は、政府、IPA、公共機関に協力し、ガイドラインの整備に努めています。

情報システム開発契約のセキュリティ仕様作成のためのガイドライン

情報システムにおける セキュリティ コントロール ガイドライン Ver.1.0

情報システム開発契約のセキュリティ仕様作成のためのガイドライン

「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめたものです。

本ガイドラインは、重要インフラ、大企業基幹系の受託開発に際して、ユーザーとベンダーがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するためのOS、デスクトッププアプリ、ブラウザーのセキュリティ設定を検討するためのガイドラインです。
脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中のCVEの採番を行っている非営利法人 MITRE の ATT&CK® Matrix for Enterprise をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものをセキュリティプロジェクトチームの有識者が抽出したものです。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、以下のガイドラインの緩和策を参照しています。

  • 米国国防総省 Security Technical Implementation Guides (STIG)
  • 米国 Center for Internet Security Benchmarks
  • Microsoft® Security Baseline 及び Security Configuration Framework また、OS等のセキュリティ設定ではカバーしきれない、SQLインジェクション攻撃やアプリケーションの構成の不備に起因する脆弱性対策を行うものとして、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) V4 と Java Spring Framework セキュアコーディングガイドラインを参考例として例示しました。 本ガイドラインとセキュアコーディングを合わせることで、より強靭なシステムの要件定義が可能となり、後工程でのセキュリティ実装がより具体的になると期待できます。
    重要:攻撃者と彼らが生み出す脅威は日々、進化を遂げています。本ガイドラインは過去の実績のある脅威に対する緩和策の提案であり、このガイドラインを適用することでサイバー攻撃の被害をゼロにすることが保証されるわけではありません。
    本ガイドラインを参考に、定期・不定期でシステム固有の脅威に対するリスクを認識し、そのリスクの緩和に向けた検討を続けることを強く推奨します。

詳細設定対策に必要な措置

セキュリティ対策は、OS、アプリケーション、ネットワーク、運用と幅広い対応が必要です。本項では、OS、プロトコル、パスワードといった基本的な設定事項について解説しています。

MITRE ATT&CKに基づく詳細設定対策

本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁に利用されている手法を絞り込み、それぞれの脅威に対して、効果的かつ具体的な設定対策を解説しています。

情報システムにおける セキュリティ コントロール ガイドライン Ver.1.0

情報セキュリティコントロールガイドライン(以下、「本ガイドライン」といいます。)は、組織における「セキュアな情報システムの維持」を目的とした要件と管理策のフレームワークを確立するため、Software ISACのコミュニティ主導の取り組みにより策定されたガイドラインであり、情報システムの開発や運用設計の際に必要となる機能的および非機能的なセキュリティ管理策の定義を適切に行うためのさまざまな工夫がなされています。ここでいう「コントロール」とは情報セキュリティ維持のため対策事項であり、組織のネットワークやデバイス、データといった情報資産の識別、保護、検出、対応、復旧のために実践すべき事項を列挙しています。

本ガイドラインは、システム運用のライフサイクルを通して、さまざまな組織のニーズに答えられるようにセキュリティ面での管理策をまとめてあります。経営者とシステム管理者は、本ガイドラインを活用することで、自組織でのセキュリティ管理の充実度を知ることができ、現状と比較することで、将来のセキュリティ管理の優先順位の決定や、予算の獲得の根拠とするなど、新規に開発するシステムにおけるセキュリティ管理体制の過不足を発見することが可能となります。