意見募集のお知らせ
2020年3月27日公開
独立行政法人情報処理推進機構
社会基盤センター
背景
2019年12月に民法改正を踏まえた「情報システム・モデル取引・契約書」の見直し整理反映版を公開しました。その後引き続き、10年前の「情報システム・モデル取引・契約書」<第一版>作成以降の情勢変化に応じて見直した方がよいと考えられる論点についての検討を進めています。
そのうちの一つ、セキュリティに関しては、ウェブアプリケーションの開発委託契約において、ユーザ企業とITベンダがセキュリティ仕様の十分な合意なく開発を行った結果、サイバー攻撃を受けて情報が漏えいした事案など、セキュリティ対策の不備に起因する紛争も発生しています。
このような状況から、IPA内に設置した「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にて、セキュリティ関連の見直しの検討を進めています。その中間成果として、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン等」の素案がまとまりました。
そこで、公表前に、記載内容の更なる改善をはかるため、様々な立場で関心をお持ちの方々からご意見、ご要望などを募集します。
ガイドライン等の概要
今回、ご意見を募集する対象文書は、情報システムの開発契約における重要な文書の一つであるセキュリティ仕様書を受発注者の合意のもとに作成する際に使用することを想定した2点であり、その概要は、次のとおりです。
セキュリティガイドライン(Windows Active Directory環境用)
重要インフラや大企業基幹系情報システムの受託開発に際して、ユーザ企業とITベンダがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するための参照情報です。セキュリティ攻撃手法ごとにその影響と対策(緩和策)などを説明しています。脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中の脆弱性情報の採番を行っている非営利法人MITRE 
が公開する脆弱性を悪用した実際の攻撃を戦術単位で分類したナレッジベースATT&CK Matrix for Enterprise をベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものを有識者が抽出しています。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、いくつかのガイドラインの緩和策を参照しています。
本ガイドラインはWindows Active Directory環境を前提とするものです。
セキュリティ仕様策定プロセス(Windows Active Directory環境用セキュリティガイドライン対応)
上記セキュリティガイドライン(Windows Active Directory環境用)を使用してセキュリティ仕様書を作成する手順等を説明するものです。「情報システム・モデル取引・契約書」に示す多段階の工程のうちどの工程でセキュリティ仕様を確定するのか、企画支援、要件定義作成支援、外部設計作成(支援)、ソフトウェア開発、ソフトウェア運用準備移行支援、運用、保守の各工程において、ユーザ企業およびITベンダのそれぞれが提供すべき情報や検討すべき事項は何か、各工程の成果物は何か、などについて説明しています。このプロセスに基づき、ユーザ企業とITベンダは、セキュリティガイドラインを参照し、そこに記載されているセキュリティ攻撃手法ごとに対策(緩和策)の実装有無を検討し、その結果をセキュリティ仕様書に反映することになります。
本文書については、いただいたご意見を反映後、他の環境にも適用できるように一般化した上で、後日公開を予定している「情報システム・モデル取引・契約書」<第二版>のモデル契約プロセスの解説等に反映することを想定しています。
このようなガイドラインを利用した、一般的なセキュリティ仕様書の作成イメージは、下図のとおりです。ユーザ企業とITベンダは、必要な情報を出し合って相互に協力して、セキュリティガイドラインを参照し、そこに記載されているセキュリティの脅威ごとに、開発対象のシステムの重要度や稼働環境、記載された対策に要する費用等を考慮しつつその影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果をセキュリティ仕様書に反映することになります。対策を実装しない場合にも、その旨を記録します。
*1 ガイドラインは唯一ではなく、システム稼働環境等に応じて多種が存在し得る(1つの文書にまとめられていない場合もある)
*2 実装する場合には、対策内容をコピーしてカスタマイズ
*3 実装しない場合には、その理由等を記載(議事録への記載ケースもあり)
意見提出の手順
『意見募集対象文書の閲覧』に示すウェブサイトにアクセス、またはダウンロードのうえ、対象文書をご覧ください。
ご意見につきましては、ご意見記入シート(本ページからダウンロード)に記載のうえ、下記の宛先に電子メールでお送りください。
なお、いただいたご意見に対して、個別に回答を差し上げることはありません。
- ご意見記入シート
(Excel形式:14KB)ダウンロード - ご意見記入シートのお送り先:
- 意見募集期間:2020年3月27日~4月27日(当日到着分まで)
個人情報の取り扱いについて
発信元のメールアドレス及び「ご意見記入シート」に含まれる個人情報は、個人情報保護法に則り適切に管理し、当意見募集の管理(ご意見の確認、集計・分析等)以外の目的に使用することはありません。
当機構のプライバシーポリシーについては、以下をご参照ください。
URL:https://www.ipa.go.jp/about/privacypolicy/index.html
意見募集対象文書の閲覧
本件の内容に関するお問い合わせ
E-mail:
"情報" - Google ニュース
March 27, 2020 at 09:38AM
https://ift.tt/3arkbjq
情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案):IPA 独立行政法人 情報処理推進機構 - 情報処理振興事業協会
"情報" - Google ニュース
https://ift.tt/37rUfCT
Shoes Man Tutorial
Pos News Update
Meme Update
Korean Entertainment News
Japan News Update
No comments:
Post a Comment