セキュリティ・バイ・デザインのリスク管理体制

セキュリティ・バイ・デザインのリスク管理に関わる関係者の役割

セキュリティ・バイ・デザイン実施にあたっては、システムライフサイクル全体を通して俯瞰的にセキュリティを確保できる能力や経験を有した専門家をシステム開発チームに指名することが求められるが、実際には人材不足等の理由により困難なケースが多い。仮に開発チームにセキュリティ専門家をアサイン可能な場合でも、セキュリティ対策の妥当性が十分に検証されずに、後工程に進めてしまうケースも散見される。よって、セキュリティ品質確保の観点から、政府情報システムにおけるセキュリティ・バイ・デザインにおいては、開発チームによる各工程でのセキュリティ対策の実施だけでなく、専門的な知見を有した評価者による客観的なリスク評価の実施を求める。

また、評価者によるリスク評価結果に基づいて確実に是正対応が行われるよう、リスク対応状況を継続的に管理するためのリスク管理の仕組み（体制、運用プロセス）を整備することも肝要となる。

本項では、セキュリティ・バイ・デザインにおけるリスク管理体制としてリスク評価、リスク管理に関わる関係者の役割（呼称）と当該役割に求められる責任を示す。

開発プロジェクトが開始する前に必要なリソースをアサインし、リスク管理体制を整備することが、セキュリティ・バイ・デザインを効果的に実施するための必須条件となる点に留意すること。

3章記載のとおり、本書のスコープをふまえ、リスク評価、リスク管理の具体的な運用プロセスは、各政府機関のセキュリティルールや環境に依存するため本書では規定しない。