セキュリティ仕様書作成プロセス明確化、IPA「情報システム・モデル取引・契約書」第二版公開 | ScanNetSecurity
2024.03.29(金)

セキュリティ仕様書作成プロセス明確化、IPA「情報システム・モデル取引・契約書」第二版公開

独立行政法人情報処理推進機構(IPA)は3月31日、「情報システム・モデル取引・契約書」第二版を公開した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ 全 1 枚 拡大写真
独立行政法人情報処理推進機構(IPA)は3月31日、「情報システム・モデル取引・契約書」第二版を公開した。

IPAでは2019年5月から2020年12月にかけて、経済産業省が2007年に公開した「情報システム・モデル取引・契約書」について、全体を取りまとめる「モデル取引・契約書見直し検討部会」を設置し、民法改正に対応した「情報システム・モデル取引・契約書」の見直しについて、同部会の下でユーザ企業、ITベンダおよび法律専門家から成る「民法改正対応モデル契約見直し検討WG」において検討した。なお、論点の一つであるセキュリティに関連する検討については、セキュリティ専門家の意見を求めるため、2019年7月から同WGの配下に「セキュリティ検討PT」を設置し検討を行った。

「第二版」では、中立的な立場でユーザ企業・ITベンダいずれかにメリットが偏らない契約書作成を目指したところが特長で、民法改正に直接かかわらない論点について、現行のモデル契約条項と解説の修正版、および見直しについての解説を整理している。

「セキュリティ仕様関連文書」では、セキュリティ専門家、一般社団法人コンピュータソフトウェア協会(CSAJ) Software ISAC等のセキュリティ関連団体の参画を得て議論を重ね、広く意見募集も行い、「第二版」から参照されるセキュリティ基準等公表情報の一例として、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン ~Windows Active Directory編~」を作成した。

セキュリティ仕様書の作成プロセスとしては、公的機関や業界団体、セキュリティ関連企業等が提供する、脅威分析を行い攻撃への影響と対策(緩和策)等を検討するためのセキュリティ基準等公表情報を使用してセキュリティの脅威を把握し、ユーザとベンダが必要な情報を相互に出し合い、開発対象のシステムの考慮をしつつ脅威の影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果を反映する等の協力をすることでセキュリティ仕様書を作成する。また、対策を実装しない場合にも、その旨を記録するとともに、システム開発の各段階において、ユーザおよびベンダの提供すべき情報や検討すべき事項は何か、各段階の成果物は何か、どの段階でセキュリティ仕様を確定するのか等について整理する。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/

特集

PageTop

アクセスランキング

  1. 富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

    富士通の複数の業務パソコンにマルウェア、個人情報を含むファイルを不正に持ち出せる状態に

  2. ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

    ランサムウェアに身代金を支払う傾向の強い組織の構造が明らかに

  3. 総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

    総務省「無線LANセキュリティガイドライン」更新、自宅と公衆に分冊

  4. プロ e スポーツ選手のアカウントにハッキング

    プロ e スポーツ選手のアカウントにハッキング

  5. 日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

    日東製網へのランサムウェア攻撃、約 1 ヶ月で全システム復旧

  6. 時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

    時給7,500円 ~ 総務省、非常勤サイバーセキュリティ人材募集 月2時間 霞が関勤務

  7. UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

    UDP ベースのアプリケーション層プロトコル実装にサービス運用妨害(DoS)の脆弱性

  8. 脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術

    脆弱性診断の新たな選択肢「ちょうどいいレベルの診断」を AeyeScan活用でサービス化 ~ NTTデータ先端技術PR

  9. Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

    Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)

  10. 「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

    「サイバーセキュリティお助け隊サービス」制度に新たに 2 類を創設、価格要件を緩和

ランキングをもっと見る