プラクティス・ナビ IPA 情報処理推進機構

プラクティス・ナビ

プラクティス5-3　ITサービスの委託におけるセキュリティ対策を契約と第三者検証で担保

　人口40万人規模の県庁所在地で資格取得支援や生涯学習サービスを提供しているJ社（従業員数200名規模）は、従来からの教室での座学型の講習に加え、eラーニングシステムを用いて自宅で遠隔受講できる講習を併用することで、受講者のニーズに対応している。eラーニングシステムにはクラウドベースの商用アプリケーションを利用しているが、教室受講の予約システムはオープンソースソフトウェア（OSS）を地元のITベンダーがカスタマイズしたものを利用しており、これらJ社が教育サービスで用いるITシステムすべての運用を同じITベンダーに委託している。3年前、ある受講生より「予約システム利用時、ブラウザ上でURLを編集すると他人の受講状況や成績が閲覧できてしまう」との連絡があり、同システムで用いているOSSのパッチ未適用に由来する脆弱性が存在することが明らかになった。J社は社長名で受講生全員にお詫びの連絡をするとともに、再発防止推進チームのリーダーとして、同社の法務・コンプライアンス担当からCRO（Chief Risk Officer）を任命し、同CROが対策を進めることとなった。

J社の実践のステップ

　J社のCROが実践したステップは下記３点である。
①J社で用いるITシステムが今後満たすべきセキュリティ要件の策定
②セキュリティ要件と第三者検証に関するITベンダーとの調整
③ITベンダーとの合意内容の契約書への反映

J社の実践内容

　社長から指示を受けたCROは現状把握を行い、J社で用いている情報システムのセキュリティ対策は実質的にITベンダーに一任の状態であることを確認した。ITベンダーが外部のセキュリティサービス事業者に委託した脆弱性診断により、教室受講予約システムに脆弱性が残っていないことは確認されたが、J社の社長は今後の運用において実施すべきセキュリティ対策はJ社から示すべきと考え、CROに対応を求めた。

　J社ではこれまでセキュリティ要件定義の経験がなく、CROもITに詳しくないこともあって、何を書けばよいのかの見当がつかなかった。そのような折り、J社のIT資格受験講座の講師をリモートで担当している方に相談したところ、以下のアドバイスを受けた。

J社が要求すべきセキュリティ対策は特殊なものではないので、公表されている既存のものを示せばよい
運用フェーズでの要求事項についてはITベンダーの体力上の制約等もあり、一方的に要求するのではなく自社の体制も改善しつつ、両者での調整で合意点を見いだすのがよい

このアドバイスをもとに、CROは次のようなセキュリティ要件定義を考えた。このうち、運用フェーズにおけるセキュリティ要件はデジタル庁のガイドライン（「参考情報」参照）を参考に策定したものである。

表1　J社にて検討したセキュリティ要件

フェーズ	セキュリティ要件の規定内容（甲＝J社、乙＝ITベンダー）
開発（カスタマイズを含む）	甲が開発又はカスタマイズを担当した部分を含むソフトウェアについて、IPAの「ECサイト構築・運用セキュリティガイドライン」記載の「ECサイトの構築時におけるセキュリティ対策要件」のうち、「必須」「必要」の内容を満たすこと
運用	以下の項目について、乙より対処計画を示し、甲の承認を得ること通常時のセキュリティ運用構成管理、変更管理セキュリティ監視時のアラート等への対応脆弱性情報の収集と、当該システムへの影響分析 CVSS等に基づくリスクに応じた脆弱性対応別途実施する脆弱性診断結果への対応非常時のセキュリティ運用インシデント対応

フェーズ

セキュリティ要件の規定内容（甲＝J社、乙＝ITベンダー）

開発（カスタマイズを含む）

甲が開発又はカスタマイズを担当した部分を含むソフトウェアについて、IPAの「ECサイト構築・運用セキュリティガイドライン」記載の「ECサイトの構築時におけるセキュリティ対策要件」のうち、「必須」「必要」の内容を満たすこと

運用

以下の項目について、乙より対処計画を示し、甲の承認を得ること

通常時のセキュリティ運用

構成管理、変更管理
セキュリティ監視時のアラート等への対応
脆弱性情報の収集と、当該システムへの影響分析
CVSS等に基づくリスクに応じた脆弱性対応
別途実施する脆弱性診断結果への対応

非常時のセキュリティ運用

インシデント対応

　J社のCROは、システムの脆弱性診断についてはITベンダーが納品時に行うものとは別に、第三者検証として別のセキュリティベンダーに委託することで客観的な結果を得ることとした。これをもとにITベンダーとの交渉に臨んだところ、運用フェーズにおける対処計画に示す内容の完全実施の保証を行うことは困難だが、目標とすることを許容してもらえるならば可能との回答を得た。J社としてもITベンダーの規模や体制を考えると直ちに完全実施を求めるのは現実的ではないと考え、しばらくの間は目標として運用することを許容することとした。

　以後2年間運用はトラブルなく推移し、その間にITベンダーで体制を強化したこともあり、対処計画について運用委託契約におけるSLA（サービルレベルアグリーメント）として規定することで両者が合意した。

参考情報

ECサイト構築・運用セキュリティガイドライン（IPA）

https://www.ipa.go.jp/security/guide/vuln/guideforecsite.html
ECサイトを構築・運営している中小企業の経営者とセキュリティ実務担当者向けに、ECサイトの構築・運営において心がけるべきことや検討・実施すべきセキュリティ要件について説明している。

政府情報システムにおけるセキュリティ・バイ・デザインガイドライン（デジタル庁）

https://www.digital.go.jp/resources/standard_guidelines
システムライフサイクルにおけるセキュリティ対策を俯瞰的にとらえるため、各工程でのセキュリティ実施内容、要求事項を記載するとともに、関係者の役割を定義するもの。デジタル庁にて策定・更新している。

Webシステム／Webアプリケーションセキュリティ要件書（ISOG-J＋OWASP Japan）

https://github.com/OWASP/www-chapter-japan/tree/master/secreq
日本セキュリティオペレーション事業者協議会とOWASP Japanの共同による「脆弱性診断士スキルマッププロジェクト」で策定している、安全なWebアプリケーションの開発に必要なセキュリティ要件書の策定例。