情報システムの企画・要件定義

130

131 遵守事項

(2) 情報システムのセキュリティ要件の策定

(a) 情報システムセキュリティ責任者は、情報システムを構築する目的、対象とす る業務等の業務要件及び当該情報システムで取り扱われる情報の格付等に基づ き、構築する情報システムをインターネットや、インターネットに接点を有する 情報システム（クラウドサービスを含む。）から分離することの要否を判断した上 で、以下の事項を含む情報システムのセキュリティ要件を策定すること。

(ア) 情報システムに組み込む主体認証、アクセス制御、権限管理、ログ管理、

暗号化機能等のセキュリティ機能要件

(イ) 情報システム運用時の監視等の運用管理機能要件 (ウ) 情報システムに関連する脆弱性についての対策要件

(b) 情報システムセキュリティ責任者は、インターネット回線と接続する情報シス テムを構築する場合は、接続するインターネット回線を定めた上で、標的型攻撃 を始めとするインターネットからの様々なサイバー攻撃による情報の漏えい、改 ざん等のリスクを低減するための多重防御のためのセキュリティ要件を策定する こと。

(c) 情報システムセキュリティ責任者は、国民・企業と政府との間で申請及び届出 等のオンライン手続を提供するシステムについて、「オンライン手続におけるリス ク評価及び電子署名・認証ガイドライン」に基づきセキュリティ要件を策定する こと。

(d) 情報システムセキュリティ責任者は、機器等を調達する場合には、「IT製品の調 達におけるセキュリティ要件リスト」を参照し、利用環境における脅威を分析し た上で、当該機器等に存在する情報セキュリティ上の脅威に対抗するためのセキ ュリティ要件を策定すること。

(e) 情報システムセキュリティ責任者は、基盤となる情報システムを利用して情報 システムを構築する場合は、基盤となる情報システム全体の情報セキュリティ水 準を低下させることのないように、基盤となる情報システムの情報セキュリティ 対策に関する運用管理規程等に基づいたセキュリティ要件を適切に策定するこ と。

【 基本対策事項 】

＜5.2.1(2)(a)関連＞

5.2.1(2)-1 情報システムセキュリティ責任者は、「情報システムに係る政府調達における

セキュリティ要件策定マニュアル」を活用し、情報システムが提供する業務及び取り 扱う情報、利用環境等を考慮した上で、脅威に対抗するために必要となるセキュリテ ィ要件を適切に決定すること。

5.2.1(2)-2 情報システムセキュリティ責任者は、開発する情報システムが運用される際

に想定される脅威の分析結果並びに当該情報システムにおいて取り扱う情報の格付 及び取扱制限に応じて、セキュリティ要件を適切に策定し、仕様書等に明記するこ

132 と。

＜5.2.1(2)(a)(ア)関連＞

5.2.1(2)-3 情報システムセキュリティ責任者は、開発する情報システムが対抗すべき脅

威について、適切なセキュリティ要件が策定されていることを第三者が客観的に確 認する必要がある場合には、セキュリティ設計仕様書（ST：Security Target）を作 成し、ST確認を受けること。

＜5.2.1(2)(a)(イ)関連＞

5.2.1(2)-4 情報システムセキュリティ責任者は、情報システム運用時のセキュリティ監

視等の運用管理機能要件を明確化し、仕様書等へ適切に反映するために、以下を含む 措置を実施すること。

a) 情報システム運用時に情報セキュリティ確保のために必要となる管理機能を 仕様書等に明記すること。

b) 情報セキュリティインシデントの発生を監視する必要があると認めた場合に は、監視のために必要な機能について、以下を例とする機能を仕様書等に明記 すること。

府省庁外と通信回線で接続している箇所における外部からの不正アクセ スを監視する機能

不正プログラム感染や踏み台に利用されること等による府省庁外への不 正な通信を監視する機能

府省庁内通信回線への端末の接続を監視する機能 端末への外部電磁的記録媒体の挿入を監視する機能 サーバ装置等の機器の動作を監視する機能

＜5.2.1(2)(a)(ウ)関連＞

5.2.1(2)-5 情報システムセキュリティ責任者は、開発する情報システムに関連する脆弱

性への対策が実施されるよう、以下を含む対策を仕様書等に明記すること。

a) 既知の脆弱性が存在するソフトウェアや機能モジュールを情報システムの構 成要素としないこと。

b) 開発時に情報システムに脆弱性が混入されることを防ぐためのセキュリティ 実装方針。

c) セキュリティ侵害につながる脆弱性が情報システムに存在することが発覚し た場合に修正が施されること。

d) ソフトウェアのサポート期間又はサポート打ち切り計画に関する府省庁への 情報提供。

＜5.2.1(2)(d)関連＞

5.2.1(2)-6 情報システムセキュリティ責任者は、構築する情報システムの構成要素のう

ち、製品として調達する機器等について、当該機器等に存在するセキュリティ上の脅 威へ対抗するためのセキュリティ要件を策定するために、以下を含む事項を実施す ること。

a) 「IT製品の調達におけるセキュリティ要件リスト」を参照し、リストに掲載

133

されている製品分野の「セキュリティ上の脅威」が自身の運用環境において該 当する場合には、「国際標準に基づくセキュリティ要件」と同等以上のセキュ リティ要件を調達時のセキュリティ要件とすること。ただし、「IT製品の調達 におけるセキュリティ要件リスト」の「セキュリティ上の脅威」に挙げられて いない脅威にも対抗する必要がある場合には、必要なセキュリティ要件を策 定すること。

b) 「IT製品の調達におけるセキュリティ要件リスト」に掲載されていない製品 分野においては、調達する機器等の利用環境において対抗すべき脅威を分析 し、必要なセキュリティ要件を策定すること。

（解説）

遵守事項5.2.1(2)(a)「インターネットや、インターネットに接点を有する情報システム

（クラウドサービスを含む。）から分離する」について

標的型攻撃による不正プログラム感染の脅威は避けられないものになっており、外 部のネットワークと接続する情報システムは、不正プログラムの感染を前提とした対 策を講ずることの重要度が、年々増加している。

外部ネットワークとの接続形態を含む情報システムの全体構成は、情報システムに おいて取り扱われる情報の格付や取扱制限、情報システムを利用する業務の形態等に よって決定する必要があるが、特に重要な情報を取り扱う情報システムについては、イ ンターネットからの直接的なサイバー攻撃を受けないよう、インターネット回線や、イ ンターネットに接点を有する情報システム（クラウドサービスを含む。）から分離する ことが求められる。また、分離した情報システムのUSBポート等の外部ネットワーク・

システムとの接点についても適切に運用することが望ましい。

遵守事項5.2.1(2)(a)「情報システムのセキュリティ要件」・基本対策事項5.2.1(2)-1「情

報システムに係る政府調達におけるセキュリティ要件策定マニュアル」について

「情報システムのセキュリティ要件」には、ハードウェア、ソフトウェア及び通信回 線を含む情報システムの構成要素のセキュリティ要件並びに構築された情報システム の運用のセキュリティ要件がある。

なお、前者のセキュリティ要件については、構築環境や構築手法等のセキュリティに 関する手順も含まれる。

セキュリティ要件の策定には、「情報システムに係る政府調達におけるセキュリティ 要件策定マニュアル」を活用するか又はそれと同等以上のセキュリティ水準となるよ う検討を行い、その結果をシステム要件定義書や仕様書等の形式で明確化した上で、実 装していくことが望ましい。

情報システムのセキュリティ要件を検討する際には、仮想化技術の活用の有無を確 認し、物理的に分割されたシステムに限らず、論理的に分割されたシステムであるかを 考慮したセキュリティ要件を検討することも重要である。「論理的に分割されたシステ ム」とは、一つの情報システムの筐体上に複数のシステムを共存させることを目的とし て、論理的に分割させた状態の情報システムをいう。

134

また、外部の情報システムを利用する場合は、4.1.1項「外部委託」も参照の上、委 託先との管理責任範囲の分担を明確化し、セキュリティ対策の実施に漏れが生じない ようにすることも重要である。

このように、情報システムの構築形態及び調達形態に応じてセキュリティ要件を定 めることが求められる。

遵守事項5.2.1(2)(b)「接続するインターネット回線を定めた上で」について

構築する情報システムごとに、個々にインターネット回線を構築すると、当該インタ ーネット回線の監視等に係る体制や運用コストが分散し、効率的かつ集中的なセキュ リティ監視が行われず、セキュリティ水準が低下するおそれがある。このような観点か ら、府省庁として（又は政府機関全体で）インターネット接続口を統合・集約し、集中 的なセキュリティ監視を行うなどの取組を行っている場合は、当該取組の範疇とする か否か検討した上で、構築する情報システムに接続するインターネット回線を仕様書 等において明確化しておくことを求めている。

なお、既設のインターネット回線を利用せずに、独立したインターネット回線を調達 してセキュリティ監視等の運用を個別に行う場合も想定される。情報システムが取り 扱う情報の格付や取扱制限等の特性に従って、既設のインターネット回線の利用可否 を判断することが望ましい。

遵守事項5.2.1(2)(d)「IT製品の調達におけるセキュリティ要件リスト」について

「IT製品の調達におけるセキュリティ要件リスト」には、複合機、OS、USBメモリ 等の製品分野ごとに一般的に想定されるセキュリティ上の脅威が記載されており、そ れらが自身の運用環境において該当する場合には、当該脅威に対抗する必要がある。

対抗手段の一つとして、「IT製品の調達におけるセキュリティ要件リスト」には、IT セキュリティに関わる「国際標準に基づくセキュリティ要件」が記載されており、それ を調達時に活用することで脅威に対抗するための機能を有した製品を調達することが 可能となる。

「IT 製品の調達におけるセキュリティ要件リスト」に記載されている「セキュリテ ィ上の脅威」のうち、製品の利用環境や製品に実装されている機能によっては、一部の 脅威だけに対抗すればよい場合もあり得る。そのような場合には、「国際標準に基づく セキュリティ要件」では過剰な要件（要求仕様）となる可能性もあるので、個別にセキ ュリティ要件を策定して脅威に対抗してもよい。

参考：経済産業省「IT製品の調達におけるセキュリティ要件リスト」

（http://www.meti.go.jp/policy/netsecurity/cclistmetisec2014.pdf）

基本対策事項5.2.1(2)-2「開発する情報システムが運用される際に想定される脅威」に ついて

汎用ソフトウェアをコンポーネントとして情報システムを構築する場合はもとより、

全てを独自開発する場合であっても、外部から脆弱性をつかれる可能性があるため、開 発する情報システムの機能、ネットワークの接続状況等から、想定される脅威を分析す