IPAがシステム開発のモデル契約書 第二版公開、セキュリティ仕様書の作成プロセスを明確化 | ScanNetSecurity
2021.03.07(日)

IPAがシステム開発のモデル契約書 第二版公開、セキュリティ仕様書の作成プロセスを明確化

独立行政法人情報処理推進機構(IPA)は12月22日、これまでの検討を取りまとめ「民法改正整理反映版」に民法改正に直接かかわらない論点の見直しを加えた「情報システム・モデル取引・契約書」第二版を公開したと発表した。

調査・レポート・白書 調査・ホワイトペーパー
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ 全 1 枚 拡大写真
独立行政法人情報処理推進機構(IPA)は12月22日、これまでの検討を取りまとめ「民法改正整理反映版」に民法改正に直接かかわらない論点の見直しを加えた「情報システム・モデル取引・契約書」第二版を公開したと発表した。同時に、「第二版」から参照されるセキュリティ基準等公表情報の一例として「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」と「セキュリティ仕様策定プロセス」も公開した。

「第二版」では、ユーザ企業、ITベンダ、関連業界団体、および法律専門家の参画を得て議論を重ね、中立的な立場でメリットが偏らない契約書作成を目指している点が特長で、民法改正に直接かかわらない論点について、現行のモデル契約条項と解説の修正版、および見直しについての解説を整理している。

「第二版」では、セキュリティ仕様書の作成プロセスを明確化し、その内容を解説に記載するとともに、そのプロセスを前提とする契約書の条項を整理。セキュリティに関して、公的機関や業界団体、セキュリティ関連企業等が提供する脅威分析を行い攻撃への影響と対策(緩和策)等を検討するための参照情報を使用し、ユーザとベンダが必要な情報を相互に出し合い、開発対象のシステムについて考慮しつつ脅威の影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果をセキュリティ仕様書に反映するといった協力を行ったうえでセキュリティ仕様書を作成する。

また、対策を実装しない場合にも、その旨を記録することが重要とし、そのためにシステム開発の各段階にて、ユーザおよびベンダのそれぞれが提供すべき情報や検討すべき事項は何か、各段階の成果物は何か、どの段階でセキュリティ仕様を確定するのか等について整理する必要があるとしている。

「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」と「セキュリティ仕様策定プロセス」については、セキュリティ専門家、一般社団法人コンピュータソフトウェア協会(CSAJ)、Software ISAC等のセキュリティ関連団体の参画を得て議論を重ねるとともに、広く意見募集も行い 、「第二版」から参照されるセキュリティ基準等公表情報の一例として、Windows Active Directory環境用の文書を作成した。

IPAでは、ユーザ企業・ITベンダ双方が「第二版」を参照することで、契約のタイミングで双方が共通理解のもと対話を深め、よりよい関係のもとITシステム開発が行われることを期待している。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

    クラウド型顧客管理システム設定不備、コナミグループへ不正アクセス

  2. 英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

    英学校で生徒に配布したノート PC、出荷段階でマルウェアがインストール

  3. メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

    メール配信作業中のミスが原因で誤送信、1万名分の顧客リストが流出

  4. 公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

    公正取引委員会で情報流出、ファイルのグラフをクリックすると個人情報が閲覧可能に

  5. 日本通運のパソコン2台に不正アクセス、メール閲覧とウイルス感染被害

    日本通運のパソコン2台に不正アクセス、メール閲覧とウイルス感染被害

  6. ビジネス OSINT とは何か? 経営に正しく役立てる方法  ~  日本ハッカー協会 代表理事 杉浦氏講演

    ビジネス OSINT とは何か? 経営に正しく役立てる方法 ~ 日本ハッカー協会 代表理事 杉浦氏講演

  7. 日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

    日経225企業の75%がドメインなりすまし未対策、ProofPoint 調査

  8. 標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

    標的型攻撃に使われたMicrosoft Exchange Server の脆弱性に対し修正プログラムを定例外で公開

  9. Apache Tomcat の脆弱性に対するアップデート公開

    Apache Tomcat の脆弱性に対するアップデート公開

  10. iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

    iPhoneに不審なカレンダーなどが表示される報告が相次ぐ(IPA)

ランキングをもっと見る