知の共有化

知の共有化とサイバーセキュリティ対策

DX時代に対応したデジタルアーカイブの構築、知識インフラの構築に必要なデジタルリテラシー。サービスの円滑な運用のためのサイバーセキュリティ対策のリテラシーも含めて。

ITを活用したサービスの構築における要件定義での情報セキュリティ対策への考慮

サービスは業務とシステムで実現するものであり、業務として何を行うか、システムとしてどのような機能を実装し、運用するかを、要件として定義する。

1.     業務要件定義

1.1.     情報セキュリティ

  • 取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方
    • 要件定義の段階で情報セキュリティ上のリスクを特定し、その対策を機能要件及び非機能要件として定義できるように、情報セキュリティ対策の対象となる情報について、情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化する。
    • 情報漏えい等による個人のプライバシーの侵害や、国民・組織に財産上の被害を与える等、情報の機密性保護に係るリスクに対する対策は特に重要
    • 情報の改ざんや情報システムの停止による利用者への影響についても考慮する必要がある。

2.     システム化要件定義:非機能要件

2.1.     情報セキュリティに関する事項

  • 情報システムにおいて提供する業務及び取り扱う情報の特性等に応じた情報セキュリティ対策(管理的対策、人的対策、物理的対策、技術的対策)のうち、技術的対策に関して記載する
    • 自組織の情報セキュリティポリシー(基本方針、対策基準)+実施手順を従った対策
    • 要件として十分でない場合は、必要に応じて、「政府機関の情報セキュリティ対策のための統一基準群」及び「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」等を参照し、必要な対策を漏れなく記載する。
    • ただし、どれだけコストをかけてもリスクをゼロにすることは困難であり、脅威の大きさ、情報資産の重要性、脆弱性の大きさを勘案し、不必要に過度な対策とならないように検討した上で記載する。
  • 情報を適切に保護し、セキュリティ侵害により事業の継続が困難(経済的損失、社会的信用の喪失)になるリスクを低減させるための対策
    • リスク=情報資産に対する脅威(侵害する行為の発生頻度)×情報資産の重要度(機密性レベル+完全性レベル+可用性レベル)×脆弱性(実際に侵害が起きる可能性)
  • 脆弱性を低減させるための技術的対策
    • 主体認証、アクセス制御、権限管理、ログ取得及びログ管理、暗号化及び電子署名、ソフトウェアの脆弱性対策、不正プログラム対策、サービス不能攻撃対策、標的型攻撃対策等