[速習] IPAが公開した重要情報を扱うシステムの要求策定ガイドについて ~重要情報システム設計と国民生活・経済活動への影響

重要情報を扱うシステムの要求策定ガイド
経済産業省からの要請を受け、独立行政法人情報処理推進機構（IPA）が公開した「重要情報を扱うシステムの要求策定ガイド」について、本記事ではその内容を詳しく解説します。ガイドは、情報システムの管理者がシステム要求を策定する際に参考にすることを目的としています。

「重要情報を扱うシステムの要求策定ガイド」を公開しました （METI/経済産業省）

ガイドは、「重要情報を扱うシステムの要求条件検討委員会」により策定されました。同委員会は2023年3月31日に設立され、最終更新日が2023年6月27日となっています。

重要情報を扱うシステムの要求条件検討委員会 | デジタル基盤センター | IPA 独立行政法人 情報処理推進機構

重要情報を扱うシステムの要求策定の概要

重要情報を扱うシステムとは、国民生活や経済活動の基盤を支えるサービスで使用される重要情報を処理、蓄積、伝達するためのシステムを指します。

具体的には、国民生活や経済活動の基盤となるサービスで使われる情報のうち、その情報の不正利用や喪失が国家および国民の安全や秩序などに影響を及ぼす恐れのある情報を取り扱うシステムのことをいいます。

• 国民生活・経済活動の基盤を支えるサービスに関わる情報を扱う

• 情報の不正利用や喪失が国家・国民の安全に影響を与える

通信 : 通信網、基地局等の通信インフラ
金融 : 銀行の決済システム、証券取引システム
電力 : 発電所、送配電設備の制御システム
防災 : 災害時の影響予測システム
交通 : 鉄道や空港の制御システム

要求策定ガイドが解決する課題
重要情報を扱うシステムは、システム停止や情報漏洩など、その影響が極めて大きい一方で、ビジネス環境や技術の急激な変化に対応し、安定供給することが求められています。

そのため、クラウドサービスを活用することが柔軟な変化への対応策の1つとなります。しかし、クラウドサービスを完全なブラックボックスとして扱うのではなく、扱うデータ等に関する適切なガバナンスを確保することも重要です。この要求策定ガイドは、これらの「利便性」と「自律性」を両立させるための要求項目を整理することを目的としています。ガイドでは要求項目の整理に関する全体像が示されており、利便性と自律性のバランスを考慮した要求項目の策定に資する内容となっています。

重要情報を扱うシステムの要求策定ガイド 1.4 要求項目の整理の考え方 P7

要求策定ガイドの想定利用者
システム管理者は、重要情報を扱うシステムの調達や運用の責任を負う立場です。本ガイドを利用して適切な要求項目を設定することができます。

システム開発者は、管理者からの要求に基づいてシステム設計・構築を担当します。本ガイドを理解することで要求の目的を把握できます。

システム運用者は、システムの保守・運用を担当します。本ガイドに沿った運用ができるようになります。

この3つの利用者は、それぞれの立場で重要情報を扱うシステムに関わることから、本ガイドの利用が想定されています。

重要情報を扱うシステムの要求策定ガイド 1.3 本ガイドの利用シーンとステークホルダー P6

要求策定ガイドの特徴(プロセス重視)
本ガイドの特徴は、要求項目を策定するプロセスに重点を置いている点です。具体的には、次の2つの特徴があります。

• 問題・リスクと対策の関係性を可視化している

• 管理者が要求項目を自ら策定できるプロセスに重点を置いている

本ガイドでは、問題・リスクとその対策の関係が樹形図の形式で示されています。この可視化により、管理者は必要な対策を戦略的に検討できます。

重要情報を扱うシステムの要求策定ガイド 2.1.3 問題・リスクの選定方法 P13

また、要求項目の策定プロセスが詳細に解説されているため、管理者自らがシステムの特性に応じた適切な要求項目を策定できるよう設計されています。これらの点から、本ガイドは要求項目そのものよりも、管理者による策定プロセスを支援する点に特徴があるといえます。

重要情報を扱うシステムの要求策定ガイド 2.1.4 必要な対策の選定方法(2/2) P15

要求策定ガイドを用いた要件の整理方法

管理者は、以下のステップを通して要求項目を策定する。

重要情報を扱うシステムの要求策定ガイド 2.1.1 要求項目の策定ステップ P11

Step1 システムの特性評価
システム特性を9つの観点で評価し、「データの漏洩・改ざんなどの防止」と「データの利用不可・システム停止などの防止」のどちらを優先すべきか整理します。

重要情報を扱うシステムの要求策定ガイド 2.1.2システムの特性評価方法 P12

Step2 問題・リスク/利便性要素の選定
Step1で整理した内容をもとに、問題・リスクあるいは利便性の要素を選定します。

重要情報を扱うシステムの要求策定ガイド 2.1.3 問題・リスクの選定方法 P13

Step3 必要な対策の選定
選定した問題・リスクあるいは利便性要素に関連する対策を検討し、必要な要求項目を選定します。

重要情報を扱うシステムの要求策定ガイド 2.1.4 必要な対策の選定方法 (1/2) P14

要求項目の例示
ガイドでは各要求項目の目的と内容が例示されています。例えば、「運用者の権限制限」や「データの暗号化」などが具体的な要求項目として示されています。

クラウド上のシステムが要求項目を満たしているか確認

クラウド上に構築したシステムが要求項目を満たしているかを確認する方法を解説します。

SOCレポート、各クラウドのセキュリティ評価制度の紹介
クラウド事業者は、セキュリティ対策の状況を示すため、SOCレポートや各クラウド固有のセキュリティ評価制度に基づく報告書を公表しています。

AWS : SOC2レポート ↗
AWS : ISMAP ↗
Azure : SOCレポート ↗
Azure : サービス信頼ポータル ↗
GCP : SOC2レポート ↗
GCP : CSP評価認定制度 ↗

SOCレポート、ISMAPの紹介
SOC 2やISMAPでは、クラウド事業者の統制目標と統制活動が報告されています。これを確認することで、クラウド事業者がどのようなセキュリティ対策を実施しているかを知ることができます。

データ/運用/ソフトウェア/ハードウェア・データセンター別の要求項目
自社のシステムの要求項目を、データ、運用、ソフトウェア、ハードウェア・データセンターなどの区分で整理しておきます。

AWSのサービスや情報を参考に要求項目を確認する方法
AWSの各種サービスの機能説明やドキュメントを参照することで、要求項目を満たす機能がAWS上に存在するかを確認できます。

おわりに

重要情報を扱うシステムの要求策定ガイドは、変化する環境に対応するため、今後も継続的な見直しが予定されています。また、今後のスコープとして、単一のシステムだけでなく、事業全体や社会全体、OTシステムも含めた検討が予定されているとのことです。

「重要情報を扱うシステムの要求策定ガイド」を活用して、システムの要求項目を策定する流れを確認しました。ガイドの対象は重要情報を扱うシステムですが、問題と対策の関係性が整理されているため、広く利用できると感じました。