IPAから公開された「重要情報を扱うシステムの要求策定ガイド」を読んでみた
IPA から 2023 年 7 月 18 日に「重要情報を扱うシステムの要求策定ガイド」が 公開されました。ガイドの利用者であるシステムオーナー自らが重要情報を扱うシステムに求められる対策を策定できることを目的としたガイドです。
重要情報を扱うシステムの要求策定ガイドを一通り読んでみたため、自身の備忘録も兼ねて、ガイドを利用して要求項目を策定する流れと、策定した要求項目を AWS 上のシステムが満たすか調べるために役立ちそうな情報をまとめてみました。
重要情報を扱うシステムの要求策定ガイドの概要
重要情報を扱うシステムの要求策定ガイド(以下、要求策定ガイド)の概要について記載します。
重要情報を扱うシステムとは
重要情報は「国民生活や経済活動の基盤となるサービスで使われる情報のうち、その情報に不正なアクセスがなされた場合、その情報の改ざん・破損があった場合、または、その情報の滅失・紛失または利用が不可能であった場合に、そのサービス提供に支障が生じ、国家および国民の安全や秩序などを損なう恐れや、経済活動に与える影響が特に大きいものおよびそれに準ずるもの」と定義されています。
P40, 41 に記載されている対象システムの具体例を見ることでイメージできました。
| 分野 | 対象システム |
|---|---|
| 通信 | 通信網と付帯設備 |
| 電力 | 電力供給に係わるシステム |
| 防災 | 災害影響予測システム |
| 鉄道 | 高速鉄道運行管理システム |
始めに読み始めたときは、今の私には関わることの少ないシステム向けの対策なのかなと思いましたが、後述しているように、要求項目を検討できるように「対策」と「問題とリスク」の関係性も掲載されていることから、個人情報やお客様情報を扱うようなシステムの対策の検討にも役立ちそうだと感じました。
要求策定ガイドが解決する課題
重要情報を扱うシステムが持つ課題として、システム停止や情報漏洩などの影響が大きい一方で、ビジネス環境や技術の急激な変化に対応して安定供給することが求められます。柔軟に変化に対応するためにはクラウドサービスを用いることが 1 つの解決策になりますが、クラウドサービスを完全なブラックボックスとして扱うのではなく、扱うデータ等に関するガバナンスを確保することも重要となります。
要求策定ガイドは、これらの「利便性」と「自律性」の両立を求めるための要求項目を整理するために役立ちます。要求項目の整理の全体像については下図が分かりやすかったです。
引用元:重要情報を扱うシステムの要求策定ガイド P7
また、要求策定ガイドは単独で利用するのではなく、既存のガイドラインと並行して利用することが前提とされています。各業界に特化したガイドラインや社内セキュリティポリシーの確認も合わせて必要となりそうです。
要求策定ガイドが対象としている課題は AWS のセミナーでもよく聞く内容と思いました。AWS はビジネス俊敏性とガバナンスのどちらかだけではなく、両立を目指す考えであるためです。
要求策定ガイドの想定利用者
利用シーンとして次の 3 つの例が記載されています。
- 管理者自らが調達仕様書を策定する場合 (利用シーン 1 )
- 委託先(コンサルなど)が調達仕様書を策定する場合 (利用シーン 2 )
- 管理者自らが構築、運用を行う場合 (利用シーン 3 )
引用元:重要情報を扱うシステムの要求策定ガイド P6
図の注意書きにありますが、要求策定ガイドはクラウドやオンプレミスの形態は問わないガイドになっています。
要求策定ガイドを用いた要件の整理方法
要求策定ガイドの特徴は、要件を整理する過程(プロセス)に重点を置いている点とのことです。問題・リスクと対策の因果関係がガイド上で整理されており、この点が要求項目だけが記載されているガイドとは異なっています。
要求項目の策定は次の 3 ステップです(P11 に説明の図があります)。
- Step.1 システムの特性評価
- Step.2 問題・リスク/利便性要素の選定
- Step.3 必要な対策の選定
Step.1 システムの特性評価
システムを下図 ①〜⑨ までの指標で評価し、次の 4 つの項目のうち優先したい内容を整理していきます。
- 自律性に関する項目
- データの漏洩・改ざんなどの防止
- データの利用不可・システム停止などの防止
- 利便性に関する項目
- 変化し続けるビジネス環境への対応
- 進化し続けるシステム技術環境への対応
引用元:重要情報を扱うシステムの要求策定ガイド P12
重要なシステムであれば、私なら 4 つとも全部と言ってしまいそうです。クラウドサービスを利用することでこれらの対策をコントールしつつアウトソースできると運用を少しでも楽にできると思いました。
Step.2 問題・リスク/利便性要素の選定
次の 6 つの分類で問題・リスクとその対策の関係がまとめられた図が提供されています。
- 自律性確保のための要求項目一覧(データ)
- 自律性確保のための要求項目一覧(運用)
- 自律性確保のための要求項目一覧(ソフトウェア)
- 自律性確保のための要求項目一覧(ハードウェア)
- 自律性確保のための要求項目一覧(データセンター・通信)
- 利便性確保のための要求項目一覧
例えば、下図は「自律性確保のための要求項目一覧(データ)」の関係図です。
引用元:重要情報を扱うシステムの要求策定ガイド P16
この関係図を利用して、Step.1 で「データの利用不可・システム停止などの防止」に特化して対策したいと整理していた場合は、赤矢印をたどることで「問題・リスク」を確認できます。
Step.3 必要な対策の選定
さらに、「問題・リスク」から「対策」をたどることで必要とされる要求項目を検討できます。各要求項目の詳細は要求策定ガイド上に記載されています。一部抜粋して掲載します。
引用元:重要情報を扱うシステムの要求策定ガイド P19
注意点として、要求策定ガイドの対策(要求項目)は必ず満たさなければいけないものではありません。ガイドの利用者自身が満たすべきかどうかを判断する必要があります。その際に、因果関係の図があることで考え方を把握できるため、要求項目だけが記載されている場合と比べて、システムの特性に応じて対策を採用するか、もしくは発展させた対策を検討するかを整理しやすくなると思います。
これらの問題・リスクとその対策の関係がまとめられていることが、重要情報を扱うシステムに限らず利用できそうだと思った理由です。
AWS 上のシステムが要求項目を満たすか確認
要求項目として下表の内容が記載されています。ただし、利用者が採用する要求項目は上述の通り、システムによって異なります。
| No | 確保する特性 | 種別 |
|---|---|---|
| A-1〜17 | 自律性 | データ |
| B-1〜11 | 自律性 | 運用 |
| C-1〜11 | 自律性 | ソフトウェア |
| D-1〜7 | 自律性 | ハードウェア |
| E-1〜11 | 自律性 | データセンター・通信 |
| F-1〜7 | 利便性 | - |
利便性の要求項目(F-1〜7)を見ていただくと分かると思いますが、オンデマンドでの設定や拡張性、サービスの継続的進化など、AWS の特性そのものであり、満たすことは明らかなものが多いです。そのため、以降では自律性の項目を中心に記載していきます。
AWS のことを考えながら、ふとオンプレミスで利便性の項目を満たそうとするとどのような手段があるのか気になりました。OpenStack の利用が最初に思いつきましたが、実際にはどのような運用がされているのか気になります。
自律性確保のための要求項目について
始めに注意点ですが、AWS 上のシステムが要求項目を満たすかどうか確認する際は AWS とユーザーのどちらの責任範囲なのかを意識することが必要です。AWS のサービスだけを利用することで満たせる項目もあれば、設定によっては満たせない項目、アプリケーションなどのユーザーの責任範囲で満たさなければいけない項目もあるためです。
自律性に関する要求項目の確認は、全体を通して次のレポート・情報が役立ちます。
- AWS が提供している SOC2 レポート
- ISMAP の情報、および、ISMAP について AWS が提供しているレポート
SOC2 レポートについて
SOC2 レポートはセキュリティやプライバシーの保護などの管理状況について評価されたレポートとなり、AWS Artifact からダウンロードできます。レポートは NDA 契約の対象となるため、本ブログではレポートの内容については記載しません。
ISMAP について
ISMAP は「政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録することにより、政府のクラウドサービス調達におけるセキュリティ水準の確保を図り、もってクラウドサービスの円滑な導入に資することを目的とした制度」です。
AWS は ISMAP に認定されています。下記ポータルの「言明の対象範囲」に対象となる AWS サービスが掲載されており、「基本言明要件のうち実施している統制目標の管理策」から AWS が実施している統制目標の管理策(もしくは統制目標外としている管理策)を確認できます。
ISMAP の管理基準は次のページで公開されています。
- 制度案内 - 管理基準 における「政府情報システムのためのセキュリティ評価制度(ISMAP)管理基準」
SOC2 レポート同様に AWS Artifact において ISMAP に関するレポートがダウンロードでき、このレポートがとても参考になります。管理策の補足説明や対象外の管理策の理由、ユーザーの責任範囲などについて記載されています。日本語版があるのもうれしい点です。
データに関する対策の参考情報
A-1〜17 のデータに関する対策には、データの暗号化や暗号鍵の管理、情報の削除、証跡管理などがあります。
AWS について確認する場合は、まずは利用するサービスをある程度絞った後に、要求項目を満たすかどうかを確認する必要がありそうです。単純にデータの暗号化を確認するにしても、Amazon EC2 & EBS なのか Amazon RDS なのか Amazon S3 なのかで確認する情報が変わるためです。
例えば、Amazon EC2 & EBS を利用して構築するシステムであれば、次のユーザーガイドを参考に確認できます。
以下は、データに関して参考になると思った公開情報です。
- AWS におけるデータの廃棄に関する確認
- AWS グローバルネットワーク上の転送データの暗号化(物理層での暗号化)
- メモリの暗号化に対応している Amazon EC2 インスタンス
運用に関する対策の参考情報
B-1〜11 には運用の完全姓・可用性確保のための対策が記載されています。
項目の中には準拠法や管轄裁判所に関する項目があります。日本国内のアカウントの準拠法は日本国法、管轄裁判所は東京地裁となるのですが、その点は AWS カスタマーサーアグリーメントから確認できます。
ソフトウェアに関する対策の参考情報
C-1〜11 にはソフトウェアの完全姓・可用性確保のための対策が記載されています。
対策の中にはソフトウェアのメンテナンス性や脆弱性対応に関するものがあります。これらの確認・検討には AWS が公開している次のサイトが参考になります。
- セキュリティ速報
- AWS のオープンソースプロジェクト
ハードウェア・データセンターに関する対策の参考情報
D-1〜7 はハードウェア、E-1〜11 はデータセンターに関する要求項目です。
これらの対策の確認・検討には AWS が公開している次のサイトが参考になります。
特に、コントロールのページが要求項目の確認に役立ちます。物理アクセスの管理方法やモニタニング、デバイスの管理などの管理策が記載されています。
重要情報を扱うシステムの要求策定ガイドの今後
重要情報を扱うシステムの要求策定ガイドは変化する環境に対応するため、今後も継続的な見直しが実施される予定と記載されています(P5)。また、P8 には今後のスコープの記載があり、単一のシステムだけではなく事業全体や社会全体も対象とするか否か、OT システムも対象にするか否か、を含めた検討が予定されているとの記載もあります。
さいごに
IPA から 2023 年 7 月 18 日に「重要情報を扱うシステムの要求策定ガイド」が 公開されました。本ブログでは、ガイドを利用してシステムの要求項目を策定する流れを確認してみると共に、策定した要求項目を AWS 上のシステムが満たすかどうか調べるために参考となる情報を紹介しました。
「重要情報を扱うシステムの要求策定ガイド」の対象はガイド名の通り、重要情報を扱うシステムですが、問題・リスクとその対策の因果関係がまとめられていることから、重要情報を扱うシステムに限らない利用もできると思いました。
また、AWS を利用することで利便性の要求項目を満たすことはもちろん、自律性の観点でも多くのサービスや機能が提供されていることや公開情報があることを知る機会となり、勉強になりました。今後もガイドは更新予定とのことなので、その更新を追従するためにも変化に柔軟な AWS の利用は良い選択肢になるのではないかと思います。
以上、このブログがどなたかのご参考になれば幸いです。
![[アップデート] EBSスナップショットとAMIのゴミ箱保持ルールの適用対象をタグで制御できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-bac3d29aa65f45576f73094798087ee5/039ad6f8a7d8f18da47986d21c447f48/amazon-ec2)
