情報処理推進機構(IPA)は8月17日、情報システムの機能やサービスに応じたセキュリティ要件定義を容易にするための「セキュリティ要件確認ツール」を公開した。
セキュリティ要件確認ツールは、情報システムの調達担当者などがIPAのウェブサイトから技術参照モデル(TRM)で定義された「機能・サービス」を入力することで、必要な「セキュリティ要件」に関する情報、情報システムを構成する機器の「セキュリティ機能要件」に関する情報を提供する。
ここでのセキュリティ要件は、「政府機関の情報セキュリティ対策のための統一基準」や「地方公共団体における情報セキュリティポリシーに関するガイドライン」をまとめた。TRMは、情報システムを技術ドメインと機能・サービスごとにモデル化して、必要な機能要件をまとめた技術体系の定義集。
出力された情報を参考に、システムのセキュリティ要件を検討することで、自組織のセキュリティポリシーと適合して、必要なセキュリティ機能を満たすシステムを実現できるという。
図:セキュリティ要件確認ツールの利用イメージ(出典:IPA)
※クリックすると拡大画像が見られます
情報システムの企画から調達、設計、構築、運用までは、機能要件やサービス要件などを適切に定義して実現することが重要だが、一方でその情報システムが持つリスクなどを考慮して、セキュリティ要件をいかに定義するかも重要になる。
だが、情報システムのセキュリティ要件を定義するには、セキュリティの専門知識や経験などが要求されるため、セキュリティに詳しくない情報システムの担当者にとっては相当な困難を伴うことが考えられるという。検討不足により情報システムのセキュリティレベルが低下してしまう可能性もあるとしている。
今回のツールは、こうした問題を解決するため、情報システムの企画や調達、設計、構築、運用などの各場面で、機能やサービスといった検討対象に応じた情報システムのセキュリティ要件定義を容易にすることを目的にしている。
