中小企業のセキュリティバイデザインとは？ JNSA 活動報告

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は11月20日、「中小企業において目指すSecurity By Design」を公表した。本書はJNSA西日本支部の「中小企業のためのSecurity by Design WG」の活動をまとめたもの。

調査・レポート・白書・ガイドライン調査・ホワイトペーパー

47 views

2020.11.25 Wed 8:05

特定非営利活動法人日本ネットワークセキュリティ協会（JNSA）は11月20日、「中小企業において目指すSecurity By Design」を公表した。本書はJNSA西日本支部の「中小企業のためのSecurity by Design WG」の活動をまとめたもの。

同WGでは、JNSA西日本支部の活動成果をもとに、経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討していた。

ITシステムの開発・導入では、機能要件の定義が主となり、セキュリティ機能は非機能要件として重要視されず後回しにされがちだが、一般的に後工程での修正になるほどコストは増加傾向で、ITシステム導入後に十分なセキュリティ対策を行うことは困難となる。本書では、ITシステムの企画・設計段階から、セキュリティを考慮した設計（Security by Design）の導入を重要視し、考慮すべきコントロール、運用確認等セキュリティ要素の関係、体制及び運用について、下記を挙げている。

・「コントロール技術的対策実装」と「運用確認・監視」は対の関係となる
・「運用確認・監視」に必要な機能、体制は「コントロール技術的対策実装」段階にて整備する
・OODAループに対応可能な技術的対策、運用と体制も整備する

《高橋潤哉（ Junya Takahashi ）》