セキュリティ仕様書作成プロセス明確化、IPA「情報システム・モデル取引・契約書」第二版公開
独立行政法人情報処理推進機構(IPA)は3月31日、「情報システム・モデル取引・契約書」第二版を公開した。
調査・レポート・白書・ガイドライン
調査・ホワイトペーパー
IPAでは2019年5月から2020年12月にかけて、経済産業省が2007年に公開した「情報システム・モデル取引・契約書」について、全体を取りまとめる「モデル取引・契約書見直し検討部会」を設置し、民法改正に対応した「情報システム・モデル取引・契約書」の見直しについて、同部会の下でユーザ企業、ITベンダおよび法律専門家から成る「民法改正対応モデル契約見直し検討WG」において検討した。なお、論点の一つであるセキュリティに関連する検討については、セキュリティ専門家の意見を求めるため、2019年7月から同WGの配下に「セキュリティ検討PT」を設置し検討を行った。
「第二版」では、中立的な立場でユーザ企業・ITベンダいずれかにメリットが偏らない契約書作成を目指したところが特長で、民法改正に直接かかわらない論点について、現行のモデル契約条項と解説の修正版、および見直しについての解説を整理している。
「セキュリティ仕様関連文書」では、セキュリティ専門家、一般社団法人コンピュータソフトウェア協会(CSAJ) Software ISAC等のセキュリティ関連団体の参画を得て議論を重ね、広く意見募集も行い、「第二版」から参照されるセキュリティ基準等公表情報の一例として、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン ~Windows Active Directory編~」を作成した。
セキュリティ仕様書の作成プロセスとしては、公的機関や業界団体、セキュリティ関連企業等が提供する、脅威分析を行い攻撃への影響と対策(緩和策)等を検討するためのセキュリティ基準等公表情報を使用してセキュリティの脅威を把握し、ユーザとベンダが必要な情報を相互に出し合い、開発対象のシステムの考慮をしつつ脅威の影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果を反映する等の協力をすることでセキュリティ仕様書を作成する。また、対策を実装しない場合にも、その旨を記録するとともに、システム開発の各段階において、ユーザおよびベンダの提供すべき情報や検討すべき事項は何か、各段階の成果物は何か、どの段階でセキュリティ仕様を確定するのか等について整理する。
関連記事
この記事の写真
/
