情報システムは継続的に機能追加、性能向上といった変更が行なわれており、この変更に対応したシステムの取得、開発及び保守、情報セキュリティの確保が重要になります。
これらの管理策は、開発にあたっての要求条件、開発にあたって考盧すべき事項、開発で必要となる開発環境(外部委託・試験)に対する情報セキュリティの3種類の管理策で構成されています。
以下で、開発にあたって考盧すべき事項及び開発で必要となる開発環境(外部委託・試験)に対する情報セキュリティの2種類について見ていきましょう。
開発にあたって考盧すべき事項
システムの取得、開発及び保守の管理策
セキュリティに配慮した開発のための指針
- ソフトウエア及びシステムの開発のための規則は組織内において確立し、開発に対して適用しなければならない
システムの変更管理手順
- 開発のライフサイクルにおけるシステムの変更は、正式な変更管理手順を用いて管理しなければならない
オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
- オペレーティングプラットフォームを変更するときは、組織の達用またはセキュリティに悪影響がないことを確実にするために、重要なアプリケーションをレビューし、試験しなければならない
パッケージソフトウェアの変更に対する制限
- パッケージソフトウェアの変更は、抑止しなければならず、必要な変更だけに限らなければならない。また、すべての変更は、厳重に管理しなければならない
セキュリティに配盧したシステム構築の原則
- セキュリティに配慮したシステムを構築するための原則を確立し、文書化し、維持しすべての情報システムの実装に対して適用しなければならない
開発にあたって考慮すべき事項では、セキュア(脆弱性のない)なシステムとして開発するための規約としてコーディング上の注意、入出力処理や例外処理、ログ収集などの原則を事前に確立することを要求しています。
開発にあたり、当初の仕様からの変更やシステムへの機能追加要求による変更が順次行なわれていきます。
これらの手順は仕様を明確にしてレビューを行なう、承認プロセスを確立してそれに従う、といった変更管理が必要です。
オペレーティングシステムやパッケージソフトの変更についても影響範囲の特定、必要な確認試験の実施、不要な変更は極力避ける、といったことが必要です。
システム構築にあたっての原則を確立し、これを適用することが求められます。
アクセス制御、暗号化、通信のセキュリティといった必要な技術的対策が適切にとられることもこの原則に中に含まれます。
開発で必要となる開発環境(外部委託・試験)に対する情報セキュリティ
システムの取得、開発及び保守の管理策
セキュリティに配盧した開発環境
- 組織は、すべてのシステム開発ライフサイクルを含む、システムの開発及び統合の取り組みのためのセキュリティに配慮した開発環境を確立し、適切に保護しなければならない
外部委託による開発
- 組織は、外部委託したシステム開発活動を監督し、監視しなければならない
システムセキュリティの試験
- セキュリティ機能の試験は、開発期間中に実施しなければならない
システムの受け入れ試験
- 新しい情報システム、及びその改訂版・更新版のために、受け入れ試験のプログラム及び関連する基準を確立しなければならない
試験データの保護
- 試験データは、注意深く選定し、保護、管理しなければならない
システムの取得、開発及び保守、情報セキュリティの確保に関する管理策3種類のうち最後の、開発にあたってのサポートシステムのセキュリティ対策です。
ここでは、リスクを防ぐために可能な限り開発環境は外部のネットワークと物理的に分離する、外部委託に対しては情報セキュリティ対策が十分になされている組織であることを確認する、作業にあたっての管理、監視を十分に行なうといった配慮が必要になります。
試験データについても、セキュリティ上の注意が必要です。
試験データは開発の効率性から、しばしば運用中のシステムの実データが利用されることがあります。
この中に重要なユーザーIDやパスワードといった情報が含まれてしまうケースがあります。
このような情報が漏えい、窃取された場合、運用環境に対する重大な脅威となるため、試験データは厳重に管理する必要があるのです。