セキュリティ・可用性WG 活動内容

CSAJ/JCSSA情報システムの信頼性向上のための
取引慣行・契約に関する検討委員会
セキュリティ・可用性WG
活動内容
平成19年6月26日(火)
セキュリティ・可用性WG
主査 高田和幸
1
名称・検討内容・運営
• 名称
– CSAJ/JCSSA情報システムの信頼性向上のための
取引慣行・契約に関する検討委員会 セキュリティ・可用性WG
– (略称)セキュリティ・可用性WG
• 検討内容
– ウイルス、情報漏えいに関するガイドラインの検討
– バックアップ、冗長化、高可用性に関する検討
• 運営
– 主査
トレンドマイクロ(株)
– 開催間隔 原則月1回(各月第3木曜日15:00-17:00)
– 運営支援 メーリングリスト、ブログ(委員のみ)
– 議事録
• 議事録は非公開とする
• 議事録作成は持ち回り制とする
• 議事録は次回WGまでに作成し、次回WGで承認を得る
2
ガイドライン設定の際のポイント
• 経済産業省商務情報政策局情報処理振興課より平成19年4月に公開された「∼
情報システム・モデル取引・契約書∼(受託開発(一部企画を含む)、保守運用)
〈第一版〉<http://www.meti.go.jp/press/20070116001/20070116001.html>」に
基づき、これに準じたガイドラインを検討する
1. 3レベル(モデル例:大企業連結型、特定事業請負型、独立事業型)を検討する
→最上位モデルとしてトヨタ系列企業におけるセキュリティ・可用性実装ケースを
想定
– 3レベルの設定において、ユーザーサイドでのRFP作成段階における要件定義の検討
– Venderサイドにおけるサービスレベルについても検討
2. 検討モデルとしては、ISMSからの派生国際規格であるISO20000(BS15000)
/27000(BS7799-2) を事業モデルに応じて検討、簡素化を図るものとする
3. J-SOXへの対応、Pマーク取得などのコンプライアンス対応、
また、入室管理システムなどの物理セキュリティについても望むべきガイドライン
を提示する
3
想定範囲および成果物
•セキュリティ・可用性要件判定チェックシート
(3レベルを設定)
•セキュリティ要求仕様書サンプル
•実装すべきセキュリティ・可用性システムの
実装ガイドライン
•社員研修プログラムなどヒューマンエラー
防止策についてのガイドライン策定
4
今後の活動について
1:本WGにおけるガイドライン策定方針の協議
・経済産業省のガイドラインをベースとし、
ISMS、ISO27000/20000/15408を考慮したものにする
・ユーザだけでなくベンダーも使用可能なものを目指す
・導入するリスク、導入しないリスクも言及する
・ガイドは3レベル定義し、それぞれ、推奨、標準、低水準、とする
・ファシリティ、ヒューマン的なものも議論の上、定義する
2:可用性検討における外部支援の必要性について
・多くのセキュリティ商品(HW製品)を取り扱う販売店様のご協力を得たい
・可用性検討における問題点を脇坂氏がまとめ、それを各WGに協力をあおる形で提
出する
次回に向けたAction
高田: ISMSをベースに、
今WGで必要なセキュリティ項目をピックアップしたレベル分けの表の作成
脇坂氏:可用性議論のベースとなる資料を探し、
今WGで必要な項目をピックアップしたレベル分けの表の作成
5
ガイドライン策定に向けたAction
1)3レベル モデルの策定
3レベル
想定される実業務モデル
情報セキュリティ要件
各クライアント対策に加
行政機関、大企業向けの業務支 え、ゲートウェイでのセ
援活動を中心に行う
キュリティ対策、コンテン
コンプライアンス対策などにつて ツセキュリティの実装を行
レベル1
発注元と同等のものが求められ い、これを管理する専任
(推奨レベル) る
部門を配置する
可用性要件
・24×7システムの実装
・システムダウンタイム 数
時間/年間レベルの維持
などを専任管理者の下運
用する
SWベンダー要件
・J-SOX対応、P-mark対
応などコンプライアンス
対策への対応
・日本国内での障害対応
部門の設置
など
・J-SOX対応、P-mark対
応などコンプライアンス
対策への対応
・日本国内での障害対応
部門の設置
など
上記同様のセキュリティレ ・24×7システムの実装
ベルを維持する。専任管 ・システムダウンタイム 数
基本的に委託業務型であり、受 理者の配置が困難な場合 時間/年間レベルの維持
レベル2
注案件に応じて他企業・機関と には遠隔監視モデルの採 など遠隔モデルなどを活
(標準レベル) の情報の流通が行われる
用を検討する
用し維持する
的な対応を行う
導入に対しては企業単位 ・データバックアップ方法
にて管理ツールにて品質 の確立
レベル3
独自事業展開により、他企業と 維持できる環境を構築す ・システム障害発生時の ・管理ツールが実装可能
(低レベル) の情報の流通はほとんど無い る
リカバリー手段の確保
など
2)導入要件についての検討
項目1
ウイルス、情報漏えい対策
暗号化
ネットワーク監視
リスクマネージメント
項目2
ゲートウェイ対策(ファイアーウォール)
クライアント対策
メールゲートウェイ対策
データ暗号化
デジタル署名
アクセス制限(ドメイン管理、ポリシー制御な
不正アクセス・サーバー攻撃対策
PDCAに基づくシステム運用
シンクライアント環境
ISO27000/15408などの取得
セキュリティ教育
損害保険
IPA他、行政機関への報告フロー
レベル1
○
○
○
○
○
○
○
○
△(用途により)
○
○
○
○
区分
○:必須、△:推奨、×不要
※「△:推奨」については非導入の場合のリスクについて別途記載を行う(予定)
レベル2
○
○
○
○
△
○
○
○
△
○
○
△
○
レベル3
△
○
△
△
×
×
△
×
×
×
×
×
○
6
スケジュール(案)
作業項目
各WG共通タイムフレーム
5月
6月
7月
指針策定
ガイドライン詳細策定
用語定義
8月
9月
10月
11月
12月
モデルドキュメント策定
現状調査・分析
WG中間取りまとめ
仕様書など検討
仕様書等中間取りまとめ
最終案取りまとめ
• WG発足(2007年4月17日)発足準備委員会
• 現状調査・分析
– 情報セキュリティ・可用性についての適用可能モデル確定(独自
管理・遠隔監視)
– 現状の問題点抽出(業務上、法務上)
– 取引慣行の整理、契約書サンプルの収集
– モデル取引、契約モデルの抽出
• WG中間まとめ
–
–
–
–
–
総論(経緯、目的、現状問題点整理、範囲、モデル取引)
モデル契約プロセス
契約案策定
モデル契約書の論点整理
契約条項整理
• 契約案中間取りまとめ
WG実施スケジュール:
•月1回ベースで開催
•各月第3週木曜日
15:00-17:00
– モデル契約書原案作成
– 付属書類サンプル作成
• 最終案取りまとめ
7
参考資料
• IPA:地方公共団体システム調達におけるセキュリティ要件の検討支援ツー
ル<http://www.ipa.go.jp/security/fy18/development/localgov/>
• 「政府機関の情報セキュリティ対策のための統一基準」(2005 年12 月版)
<http://www.nisc.go.jp/active/general/kijun01.html>
• IPA:情報セキュリティ読本(2006 年11 月改訂版)
<
http://www.ipa.go.jp/security/awareness/management/management.ht
ml>
• ITセキュリティ評価及び認証制度(JISEC)
<http://www.ipa.go.jp/security/jisec/index.html>
• JIPDEC 情報マネジメントシステム推進センター
<http://www.isms.jipdec.jp/>
8