システムのブラックボックス化を懸念、「重要情報を扱うシステムの要求策定ガイド」活用の手引き(別冊)を公開 IPA
掲載:2024年08月08日
サイバー速報
目次
情報処理推進機構(IPA)はこのほど、「重要情報を扱うシステムの要求策定ガイド」(以下、重要システムガイド)の適用効果や利用方法を解説した活用の手引き(別冊)を公開しました。
重要システムガイドは2023年7月にIPAが公開した手引きであり、「重要情報を扱うシステム」のオーナー(=事業者)が、利便性および自律性の観点から問題とリスクを分析し、その対策を自ら策定できるようになることを目指しています。ここで重要情報を扱うシステムとは例えば、通信網のシステムや電力供給に係わるシステム、災害影響予測システム、鉄道運行管理システムなどのことを指します。
重要情報を扱うシステムやサービスは安定供給を維持するための体制構築が必要です。そのため事業者はベンダーに要求すべき項目を策定するなかで、システムを取り巻く環境の変化を捉え、それに伴う問題やリスクを整理し、対策を考えることが求められています。重要システムガイドではこの一連のプロセスに重点が置かれています。
今般公開された活用の手引き(別冊)では改めて、システムがブラックボックス化する問題に焦点を当てています。具体的には、クラウドサービスの利用やベンダーに過度にゆだねることがブラックボックス化につながると指摘しています。ブラックボックス化すると、利用システムに障害が生じた際、原因を素早く特定することが困難になり、顧客への説明も遅くなることが懸念されます。さらには、内部不正や価格上昇圧力につながる可能性もあると指摘しています。
この課題を解決する手法として重要システムガイドは作成されています。ガイドで示した手法を実践することで、緊急時の対応▽悪意のある攻撃者への対応▽投資対効果の高いサービスの選択――において効果があると説明しています。活用の手引き(別冊)では、具体的なシステム(架空のシステム)をもとにシステムの特性を評価した例も示されています。
おすすめ記事
- クラウドサービスに特化したセキュリティ基準 ~各ガイドラインや認証制度の比較~
- SOC2とは?その必要性、準拠の進め方などを解説
- SSPM
- CSPM
- クラウドネイティブ
- ISMAP:政府情報システムのためのセキュリティ評価制度
- FedRAMP(米国政府機関におけるクラウドセキュリティ認証制度)
- ISO/IEC27017(CLS)― クラウドサービスのための情報セキュリティ管理策―
- NIST CSF 1.1版(重要インフラのサイバーセキュリティを改善させるためのフレームワーク)
- NIST CSF 2.0版~改訂のポイント~
- 「重要情報を扱うシステムの要求策定ガイド」を公表 IPA
- 電気事業者向けにサイバーセキュリティに関する「リスク点検ガイド」と「対策状況可視化ツール」を公表 経産省
- ISMAPの新制度「ISMAP-LIU」の運用を開始 NISCなど
- 米・英・独・豪におけるクラウドサービス評価制度の実施状況調査結果を公開 IPA