Guideline

情報システム開発契約のセキュリティ仕様作成のためのガイドライン

「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」は、独立行政法人情報処理推進機構(IPA)内に設置された「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にてとりまとめたものです。

本ガイドラインは、重要インフラ、大企業基幹系の受託開発に際して、ユーザーとベンダーがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するためのOS、デスクトッププアプリ、ブラウザーのセキュリティ設定を検討するためのガイドラインです。
脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中のCVEの採番を行っている非営利法人 MITRE の ATT&CK® Matrix for Enterprise をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものをセキュリティプロジェクトチームの有識者が抽出したものです。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、以下のガイドラインの緩和策を参照しています。

  • 米国国防総省 Security Technical Implementation Guides (STIG)
  • 米国 Center for Internet Security Benchmarks
  • Microsoft® Security Baseline 及び Security Configuration Framework また、OS等のセキュリティ設定ではカバーしきれない、SQLインジェクション攻撃やアプリケーションの構成の不備に起因する脆弱性対策を行うものとして、OWASP の Application Security Verification Standard (ASVS:アプリケーションセキュリティ検証標準) V4 と Java Spring Framework セキュアコーディングガイドラインを参考例として例示しました。 本ガイドラインとセキュアコーディングを合わせることで、より強靭なシステムの要件定義が可能となり、後工程でのセキュリティ実装がより具体的になると期待できます。
    重要:攻撃者と彼らが生み出す脅威は日々、進化を遂げています。本ガイドラインは過去の実績のある脅威に対する緩和策の提案であり、このガイドラインを適用することでサイバー攻撃の被害をゼロにすることが保証されるわけではありません。
    本ガイドラインを参考に、定期・不定期でシステム固有の脅威に対するリスクを認識し、そのリスクの緩和に向けた検討を続けることを強く推奨します。

詳細設定対策に必要な措置

セキュリティ対策は、OS、アプリケーション、ネットワーク、運用と幅広い対応が必要です。本項では、OS、プロトコル、パスワードといった基本的な設定事項について解説しています。

MITRE ATT&CKに基づく詳細設定対策

本項では、MITRE ATT&CK に基づき、実際に発生し、かつ、頻繁に利用されている手法を絞り込み、それぞれの脅威に対して、効果的かつ具体的な設定対策を解説しています。