2-1 企画・要件定義(セキュリティの観点)
概要 (引用)
調達又は開発するシステムのニーズ及び制約並びに脅威分析の結果からのセキュリティ要件の定義について,必要な指導・助言を行い,支援する。調達又は開発の仕様書のレビューについて,セキュリティの観点から必要な指導・助言を行い,支援する。
要求される知識
・ セキュリティ要件に関する知識
・ セキュリティバイデザイン,プライバシーバイデザインに関する知識
・ システム及びソフトウェア製品の品質要求及び評価(SQuaRE)に関する知識要求される技能
・ 調達又は開発するシステムのニーズ及び制約からセキュリティ要件を定義する能力
・ 脅威分析の結果からセキュリティ要件を定義する能力
・ 仕様書をレビューする能力- 引用元
- 情報処理推進機構 「情報処理安全確保支援士試験(レベル4)シラバス- 情報処理技術者試験における知識・技能の細目 Ver.2.1(2023年12月25日掲載)
- https://www.ipa.go.jp/shiken/syllabus/nq6ept00000014ir-att/syllabus_sc_ver2_1.pdf
セキュリティバイデザイン,プライバシーバイデザインに関する知識
「セキュリティ・バイ・デザイン(Security by Design)」および「プライバシー・バイ・デザイン(Privacy by Design)」は、システムやサービスの企画・設計段階からセキュリティやプライバシーを組み込むという考え方です。近年の情報システムやIoT、クラウドサービスなどの普及に伴い、これらの考え方は極めて重要視されています。
セキュリティ・バイ・デザイン(Security by Design)
概要:
- システムの企画・要件定義・設計段階からセキュリティ対策を考慮することで、開発後の対策漏れや脆弱性の発生を未然に防ぐ。
- セキュリティを後付けではなく、「初めから設計に組み込む」ことが原則。
主な内容:
- リスクベースアプローチ:資産・脅威・脆弱性の洗い出しとリスク評価に基づく対策の検討
- 最小権限の原則やデフォルトでセキュアな設定(Secure by Default)の実装
- 安全な開発ライフサイクル(SDL:Security Development Lifecycle)の導入
プライバシー・バイ・デザイン(Privacy by Design)
概要:
- 個人情報の取得・利用・保管・廃棄の各段階でプライバシーを保護する仕組みを、システムやサービスの設計段階から組み込む。
- 個人の権利尊重と法令(例:GDPR、個人情報保護法など)への準拠を目指す。
7つの原則(Ann Cavoukian 提唱):
- 予防的であること(Proactive not Reactive)
- デフォルトでプライバシーを保護(Privacy as the Default Setting)
- 設計にプライバシーを組み込む(Privacy Embedded into Design)
- 機能性の全体最適(Full Functionality)
- エンドツーエンドのライフサイクル保護
- 可視性と透明性(Transparency)
- ユーザ中心の設計(Respect for User Privacy)
共通点と支援士の役割
| 観点 | セキュリティ・バイ・デザイン | プライバシー・バイ・デザイン |
|---|---|---|
| 対象 | 情報全体・システム全体の保護 | 個人情報の保護に特化 |
| 目的 | 不正アクセスや攻撃の防止 | 個人の権利の保護、法令遵守 |
| 支援士の役割 | 設計段階からセキュリティ要件を導入・助言 | 個人情報の取り扱いに関する指導・監督・レビュー支援 |
企画・要件定義におけるセキュリティの観点について
情報処理安全確保支援士の企画・要件定義におけるセキュリティの観点からの役割は、システムの導入や開発初期段階において、組織のニーズ・制約・脅威を的確に把握し、セキュリティを確保する要件を明確化・文書化することを支援することです。以下にその具体的な内容を説明します。
1. セキュリティ要件定義の支援
- 支援士は、調達または開発するシステムの業務ニーズや法的・組織的制約を踏まえて、情報資産の重要性や利用環境を整理します。
- さらに、脅威分析やリスク評価の結果を基に、機密性・完全性・可用性などの観点から必要なセキュリティ要件(例:アクセス制御、ログ管理、通信の暗号化など)を明確にし、関係者に対して適切な指導・助言を行います。
2. 仕様書レビューにおける支援
- 要件が仕様書に適切に反映されているかを確認するため、システム調達仕様書や開発仕様書のレビューを行い、セキュリティ要件の漏れや不備がないかをチェックします。
- たとえば、認証方式が適切に選定されているか、セキュリティ対策が具体的に記述されているかなどを確認し、不足や誤りがある場合は改善の助言や修正提案を行います。
3. 成果として期待されること
- これにより、システム開発・導入の後工程でのセキュリティ対策の手戻りを防止でき、コストやスケジュール面のリスクを低減できます。
- また、将来的な脅威への耐性や法令遵守体制の確保にもつながります。
まとめ
情報処理安全確保支援士は、システム企画・要件定義段階でのセキュリティ要求事項の明確化と仕様書への反映を支援し、セキュリティ対策の抜け漏れを防ぐ役割を担います。これはシステム全体の安全性・信頼性を確保するための重要な活動です。
