システムのブラックボックス化を懸念、「重要情報を扱うシステムの要求策定ガイド」活用の手引き(別冊)を公開 IPA

掲載:2024年08月08日

サイバー速報

         
目次

情報処理推進機構(IPA)はこのほど、「重要情報を扱うシステムの要求策定ガイド」(以下、重要システムガイド)の適用効果や利用方法を解説した活用の手引き(別冊)を公開しました。

重要システムガイドは2023年7月にIPAが公開した手引きであり、「重要情報を扱うシステム」のオーナー(=事業者)が、利便性および自律性の観点から問題とリスクを分析し、その対策を自ら策定できるようになることを目指しています。ここで重要情報を扱うシステムとは例えば、通信網のシステムや電力供給に係わるシステム、災害影響予測システム、鉄道運行管理システムなどのことを指します。

重要情報を扱うシステムやサービスは安定供給を維持するための体制構築が必要です。そのため事業者はベンダーに要求すべき項目を策定するなかで、システムを取り巻く環境の変化を捉え、それに伴う問題やリスクを整理し、対策を考えることが求められています。重要システムガイドではこの一連のプロセスに重点が置かれています。

今般公開された活用の手引き(別冊)では改めて、システムがブラックボックス化する問題に焦点を当てています。具体的には、クラウドサービスの利用やベンダーに過度にゆだねることがブラックボックス化につながると指摘しています。ブラックボックス化すると、利用システムに障害が生じた際、原因を素早く特定することが困難になり、顧客への説明も遅くなることが懸念されます。さらには、内部不正や価格上昇圧力につながる可能性もあると指摘しています。

この課題を解決する手法として重要システムガイドは作成されています。ガイドで示した手法を実践することで、緊急時の対応▽悪意のある攻撃者への対応▽投資対効果の高いサービスの選択――において効果があると説明しています。活用の手引き(別冊)では、具体的なシステム(架空のシステム)をもとにシステムの特性を評価した例も示されています。