HOME社会基盤センター社会基盤センターについて情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)

本文を印刷する

社会基盤センター

情報システム開発契約のセキュリティ仕様作成のためのガイドライン(案)

意見募集のお知らせ 《募集期間は終了しました》

最終更新日:2020年5月18日
2020年3月24日公開
独立行政法人情報処理推進機構
社会基盤センター


意見募集は終了しました。
ご協力いただきまして、ありがとうございました。

背景

2019年12月に民法改正を踏まえた「情報システム・モデル取引・契約書」の見直し整理反映版を公開しました。その後引き続き、10年前の「情報システム・モデル取引・契約書」<第一版>作成以降の情勢変化に応じて見直した方がよいと考えられる論点についての検討を進めています。

そのうちの一つ、セキュリティに関しては、ウェブアプリケーションの開発委託契約において、ユーザ企業とITベンダがセキュリティ仕様の十分な合意なく開発を行った結果、サイバー攻撃を受けて情報が漏えいした事案など、セキュリティ対策の不備に起因する紛争も発生しています。

このような状況から、IPA内に設置した「モデル取引・契約書見直し検討部会」配下の「セキュリティ検討プロジェクトチーム(PT)」にて、セキュリティ関連の見直しの検討を進めています。その中間成果として、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン等」の素案がまとまりました。

そこで、公表前に、記載内容の更なる改善をはかるため、様々な立場で関心をお持ちの方々からご意見、ご要望などを募集します。

意見募集対象文書の閲覧

ガイドライン等の概要

今回、ご意見を募集する対象文書は、情報システムの開発契約における重要な文書の一つであるセキュリティ仕様書を受発注者の合意のもとに作成する際に使用することを想定した2点であり、その概要は、次のとおりです。

セキュリティガイドライン(Windows Active Directory環境用)

重要インフラや大企業基幹系情報システムの受託開発に際して、ユーザ企業とITベンダがセキュリティ仕様を策定する際の、脅威分析とその対策を検討するための参照情報です。セキュリティ攻撃手法ごとにその影響と対策(緩和策)などを説明しています。脅威については、NIST(米国国立標準技術研究所)の委託を受け、世界中の脆弱性情報の採番を行っている非営利法人MITRE 別ウィンドウで開くが公開する脆弱性を悪用した実際の攻撃を戦術単位で分類したナレッジベースATT&CK Matrix for Enterprise 別ウィンドウで開くをベースに、日本国内で発生したインシデントで実際に使われ、かつ、実績の多いものを有識者が抽出しています。また、脅威に対する対策は、MITRE ATT&CK Matrix for Enterprise の推奨する緩和策に加え、いくつかのガイドラインの緩和策を参照しています。

本ガイドラインはWindows Active Directory環境を前提とするものです。

セキュリティ仕様策定プロセス(Windows Active Directory環境用セキュリティガイドライン対応)

上記セキュリティガイドライン(Windows Active Directory環境用)を使用してセキュリティ仕様書を作成する手順等を説明するものです。「情報システム・モデル取引・契約書」に示す多段階の工程のうちどの工程でセキュリティ仕様を確定するのか、企画支援、要件定義作成支援、外部設計作成(支援)、ソフトウェア開発、ソフトウェア運用準備移行支援、運用、保守の各工程において、ユーザ企業およびITベンダのそれぞれが提供すべき情報や検討すべき事項は何か、各工程の成果物は何か、などについて説明しています。このプロセスに基づき、ユーザ企業とITベンダは、セキュリティガイドラインを参照し、そこに記載されているセキュリティ攻撃手法ごとに対策(緩和策)の実装有無を検討し、その結果をセキュリティ仕様書に反映することになります。

本文書については、いただいたご意見を反映後、他の環境にも適用できるように一般化した上で、後日公開を予定している「情報システム・モデル取引・契約書」<第二版>のモデル契約プロセスの解説等に反映することを想定しています。

このようなガイドラインを利用した、一般的なセキュリティ仕様書の作成イメージは、下図のとおりです。ユーザ企業とITベンダは、必要な情報を出し合って相互に協力して、セキュリティガイドラインを参照し、そこに記載されているセキュリティの脅威ごとに、開発対象のシステムの重要度や稼働環境、記載された対策に要する費用等を考慮しつつその影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果をセキュリティ仕様書に反映することになります。対策を実装しない場合にも、その旨を記録します。

情報システム開発契約のセキュリティ仕様作成のためのガイドライン

*1 ガイドラインは唯一ではなく、システム稼働環境等に応じて多種が存在し得る(1つの文書にまとめられていない場合もある)
*2 実装する場合には、対策内容をコピーしてカスタマイズ
*3 実装しない場合には、その理由等を記載(議事録への記載ケースもあり)

本件の内容に関するお問い合わせ

IPA 社会基盤センター 上田/山下
E-mail:メールアドレス

更新履歴

2020年3月27日 公開
2020年4月22日 意見募集期間を延長
2020年4月24日 意見記入フォームへのリンクを追加
2020年5月18日 意見募集を終了