これまでの活動内容報告書・成果物実績重要インフラ情報システムの信頼性向上の取組みガイドブック~情報システムの信頼性管理に必要な組織内の役割分担と活動の枠組み~

本文を印刷する

重要インフラ情報システムの信頼性向上の取組みガイドブック~情報システムの信頼性管理に必要な組織内の役割分担と活動の枠組み~

2011年3月30日
独立行政法人 情報処理推進機構
ソフトウェア・エンジニアリング・センター

概要

1.背景

 近年でも、重要インフラ(※)を支える情報システム(以下、重要インフラ情報システム)にトラブルが起きた結果、社会に大きな影響が及ぶケースが散見されています。
2005年7月~2010年1月の間に報道された、情報システムのトラブルが社会サービスに影響を及ぼしたケースは100件を超えています。


 IPA/SECでは、重要インフラを運営する事業者(以下、重要インフラ事業者)を主な対象とし、情報システム、その中でも特にソフトウェアについて、その信頼性を確保するための取組みについての知見を収集・整理するために、2008年度からの3年間、「重要インフラ情報システム信頼性研究会」を組織し活動を行ってきました。
 本ガイドブックは、その活動の集大成として公表するものです。

◆本ガイドブックでは、情報システムの信頼性についての要求をまとめ、それを実現するために必要な組織の活動についての実施例や考え方を説明しており、重要インフラなど、社会的に重要なサービスを提供している事業者(特に、その中の経営層、情報システム部門の幹部と品質責任者)が情報システムの信頼性管理の取組みを点検するための視点を提供しています。

(※)重要インフラ : 他に代替することが著しく困難なサービスを提供する事業が形成する国民生活および、社会経済活動の基盤であり、その機能が停止、低下又は利用不可能な状態に陥った場合に、わが国の国民生活又は、社会経済活動に多大なる影響を及ぼすおそれが生じるもの(2009年2月政府情報セキュリティ政策会議)

2.本ガイドブックの内容と構成

 今日、重要インフラで提供される社会サービスも事業者間の競争にさらされています。重要インフラ情報システムの信頼性は大事とはいえ、掛けられるコストも無制限ではありません。
 重要インフラ事業者は、情報システムについて、どの程度の信頼性を、どの程度コストを掛け、どのような活動を行って確保するのかを事業者内で整理するとともに、重要インフラの利用者に対しても十分に説明し、その理解を得ることが重要になります。 これらの整理と説明においては、以下がポイントになります。

(1)情報システムの信頼性についての要求を明確にすること。

(2)その要求を満たすのに必要な事業者の活動を定義し、実施すること(ここで、事業者の各部門が定義された各々の役割を果たせば、必要な活動が網羅できるようにされていることが望ましい。)

(3)その活動の結果、情報システムの信頼性の要求が満たされたことを確認すること、また必要な改善を施すこと。

 つまり、情報システムの信頼性について、活動を実施した結果の必然として、自ら立てた目標が達成できたことを合理的に確認でき、また説明できることが必要です。
 本ガイドブックでは、先進的な事業者の取組みを一般化し整理することにより、上記(1)~(3)にて行うべきことを次のような構成で説明しています。

<第1章>
上記(1)~(3)の活動を行うべき理由について説明しています。

■重要インフラ情報システム(特に、そのソフトウェアについて。以下同じ)の性格、置かれている状況

<第2章>
上記(1)~(3)の活動の内容を説明しています。

■情報システムの信頼性管理に必要な組織内の役割分担(情報システム部門およびその外部委託先、利用部門、および経営層のそれぞれについて、“信頼性要求”、“信頼性要求の実現”、“信頼性要求が実現できたことの確認”において、期待される役割)

■情報システムの信頼性管理に必要な組織内の主要活動をまとめた「管理フレーム」(信頼性要求、開発・保守の標準の定義、開発・保守プロジェクトの運営等、組織内で行うべき諸活動とそれらの目的、内容、留意点および諸活動間の関係)

■情報システムの信頼性要求を決める際、情報システムの重要性判断に用いることのできる情報システム「タイプ」

<第3章>
上記(1)~(3)の活動を行う際に参考になる手法、ツールを紹介しています。

<第4章>
上記(1)~(3)の実施例を説明しています。

■2つの事業者における、情報システムの信頼性管理の考え方のポイント
■1つの事業者における、「管理フレーム」の実施例

<付 録>
昨今の障害事例を参考に、情報システムの管理活動の充実度合いを自主点検するためのチェックリストを提供しています。

■情報システムの過去の障害事例の分析結果(報道された障害と、推定される原因の一覧)
■上記の分析結果から導かれた障害再発防止策(推定される原因を取り除くために必要な組織の活動)

ダウンロード

注:当ページのコンテンツはPDF形式での提供となっております。
重要インフラ情報システムの信頼性向上の取組みガイドブック (PDF形式)[6.25MB]

報告書・成果物実績