カタログの活用方法、目指す姿

デジタル・ガバメント推進標準ガイドラインでの活用について

デジタル・ガバメント推進標準ガイドラインより、セキュリティ統制のカタログ化が活用できると思われる例の一部を以下に示す。

プロジェクト計画

プロジェクト管理要領への記載事項としてリスク管理が挙げられ、情報セキュリティリスクについては、自組織の情報セキュリティポリシーを参照して記載内容を検討するとされている。

カタログを活用することにより、自組織の情報セキュリティポリシーにおけるセキュリティ管理策への参照が容易になるだけでなく、セキュリティ管理策の基となった法令、規格、フレームワークなど外部のリファレンスを参照することも容易となる。これにより、プロジェクトにて考慮すべき情報セキュリティリスクを効率よく導き出すことが可能となるものと考えられる。

業務要件

情報セキュリティに係る業務要件を定義する際、一般に、自組織の情報セキュリティポリシー等を参照し内容を検討する。多くの内容は、情報セキュリティポリシーなどのセキュリティ標準（セキュリティベースライン）に基づいて決定されるが、プロジェクトに合うように個別の内容を追加などすること（テーラリング）も考えられる。自組織においてセキュリティ統制がカタログ化されていれば、そのセキュリティ管理策のカタログをベースにして一部を加除修正することで、それぞれの差異を意識しやすくなることが見込まれる。またセキュリティ管理策のカタログを作成する中で、情報セキュリティポリシー内の矛盾した定義の排除など正規化されるため、業務要件を決定する際に、必要なセキュリティ管理策を選択していくことで矛盾無く整合性のある要件を確定することができると考える。

また、情報セキュリティの基本的な考え方について、何らかの成果物として表現する必要がある。現状、成果物として文書に残す場合がほとんどであり、その多くが独自の文書フォーマットで表現されている。この文書は、設計・開発等の後工程においても使用されるが、文書フォーマットが統一されていないことや機械可読でないことが多い。人手による作業は多大な労力が掛かるだけでなく、手作業のミスが発生することも考えられる。セキュリティ統制のカタログ化を実施することで、異なるプロジェクト間で統一的なフォーマットで情報セキュリティを表現でき、また機械可読な形式で表現と合わせることにより、要件定義のためのツール等への組み込みなども可能になることが考えられる。

設計・開発

要件定義の内容に基づき設計・開発することで具体化・詳細化が行われる。これらは技術的な専門性を要する作業であり、政府情報システムにおいては外部の設計・開発事業者が大部分の作業を行うことが一般的である。この際、要件定義の内容が確実に反映されるよう、発注者が成果物の確認等を主体的に行っていくことが重要である。この成果物の確認は、報告書などの文書を用いてレビューを行うなど、人手による確認作業が一般的であり、また報告のフォーマットも統一されておらず、確認作業に多大な労力が払われている。セキュリティ統制のカタログ化を実施することにより、要件と設計・開発の成果物との比較が容易になることで、整合性を担保しつつ受け入れ作業をより確実なものにできると思われる。

また、クラウドサービスの利用においては、テンプレート利用や設定自動化を行うことで、各種コスト削減、手作業によるミス削減と品質向上、属人性低減などの実現が見込まれる。セキュリティ統制のカタログ化における機械可読形式による表現を利用することで、テンプレートを用いて開発時のセキュリティ確保のための負担を減らすことが可能となり、同時に、より確実なセキュリティを実現することが可能となる。また設定自動化まで実現することができれば、システム規模を動的に変化させて管理する環境においても、適切なセキュリティを実現することが可能となると考えられる。

運用及び保守

システムの運用及び保守の実施において、情報セキュリティの実施状況について確認する必要がある。この運用及び保守の実施状況を機械可読形式で表すことができれば、設計・開発時での実装状況、要件定義、自組織の情報セキュリティポリシーと比較することができ、システムとして在るべき姿を実現することが容易になるものと思われる。

またシステムを運用していく上で、自組織の情報セキュリティポリシーの変更等の外部要因によりシステム変更を行う場合がある。システム変更において、影響範囲を把握することは重要であるものの、変更による影響範囲を即座に把握することは難しく、情報セキュリティポリシー変更案を基にシステム担当者が影響範囲を特定することが一般的であると思われる。セキュリティ統制のカタログ化によって、情報セキュリティポリシーと現実に実装された内容との間でトレーサビリティが確保することができれば、影響範囲を即座に特定することができるようになり、またシステム担当者がシステム変更によって準拠すべき情報セキュリティポリシーの確認を即座にできるようになるなど、よりセキュアな運用および保守を実現することが可能になると思われる。

セキュリティ監査

セキュリティ監査において、監査計画の策定から監査実施及びフォローアップまで多くの工程を実施しており、そのほとんどが手作業で実施されている。また監査結果の確認においては、情報セキュリティポリシー、システム実装内容、監査結果といった内容を並べて確認する必要があり、それぞれが独自の形式で表現されていることがほとんどであるため、多大な労力が掛けられている。セキュリティ統制のカタログ化においては、セキュリティ統制業務における全ての要素を一元管理することができ、かつマークアップ言語による機械可読形式で表現することにより、過去の監査結果や他システムの監査結果など、他の監査結果との比較が可能となる。差分の可視化が進み、システムとして在るべき姿と比較することで不適合項目の把握も容易なものとなる。

また、情報セキュリティポリシーやシステム実装内容といった情報の収集を自動化することができれば、セキュリティ統制状況を常時把握することが可能となる。これにより、任意のタイミングでセキュリティ監査を行うことが可能となり、監査自動化を実現することで継続的監査を実施できるものと思われる。加えて、監査結果を元にシステム実装の是正自動化まで実現することができれば、システム規模を動的に変化させて管理する環境を含めた幅広い情報システム環境において、システムとして在るべき姿を常時実現することが可能となり、よりセキュアな状態を実現できるものと思われる。