セキュリティ仕様書作成プロセス明確化、IPA「情報システム・モデル取引・契約書」第二版公開 | ScanNetSecurity
2021.05.13(木)

セキュリティ仕様書作成プロセス明確化、IPA「情報システム・モデル取引・契約書」第二版公開

独立行政法人情報処理推進機構(IPA)は3月31日、「情報システム・モデル取引・契約書」第二版を公開した。

調査・レポート・白書 調査・ホワイトペーパー
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ
セキュリティ基準等公表情報を使用した一般的なセキュリティ仕様書の作成イメージ 全 1 枚 拡大写真
独立行政法人情報処理推進機構(IPA)は3月31日、「情報システム・モデル取引・契約書」第二版を公開した。

IPAでは2019年5月から2020年12月にかけて、経済産業省が2007年に公開した「情報システム・モデル取引・契約書」について、全体を取りまとめる「モデル取引・契約書見直し検討部会」を設置し、民法改正に対応した「情報システム・モデル取引・契約書」の見直しについて、同部会の下でユーザ企業、ITベンダおよび法律専門家から成る「民法改正対応モデル契約見直し検討WG」において検討した。なお、論点の一つであるセキュリティに関連する検討については、セキュリティ専門家の意見を求めるため、2019年7月から同WGの配下に「セキュリティ検討PT」を設置し検討を行った。

「第二版」では、中立的な立場でユーザ企業・ITベンダいずれかにメリットが偏らない契約書作成を目指したところが特長で、民法改正に直接かかわらない論点について、現行のモデル契約条項と解説の修正版、および見直しについての解説を整理している。

「セキュリティ仕様関連文書」では、セキュリティ専門家、一般社団法人コンピュータソフトウェア協会(CSAJ) Software ISAC等のセキュリティ関連団体の参画を得て議論を重ね、広く意見募集も行い、「第二版」から参照されるセキュリティ基準等公表情報の一例として、「情報システム開発契約のセキュリティ仕様作成のためのガイドライン ~Windows Active Directory編~」を作成した。

セキュリティ仕様書の作成プロセスとしては、公的機関や業界団体、セキュリティ関連企業等が提供する、脅威分析を行い攻撃への影響と対策(緩和策)等を検討するためのセキュリティ基準等公表情報を使用してセキュリティの脅威を把握し、ユーザとベンダが必要な情報を相互に出し合い、開発対象のシステムの考慮をしつつ脅威の影響についてリスク評価を行い、対策の実装有無を決定・合意し、その結果を反映する等の協力をすることでセキュリティ仕様書を作成する。また、対策を実装しない場合にも、その旨を記録するとともに、システム開発の各段階において、ユーザおよびベンダの提供すべき情報や検討すべき事項は何か、各段階の成果物は何か、どの段階でセキュリティ仕様を確定するのか等について整理する。

《高橋 潤哉( Junya Takahashi )》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?

    オンプレミス(私有地)からパブリッククラウド(公道)へ、「ガードレール型セキュリティ」とクラウド事故の三大人因とは?PR

  2. ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

    ランサムウェアの身代金支払いで反社への資金供与システムと化すサイバー保険産業

  3. NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

    NISC、具体例や悪用された脆弱性を示しランサムウェアによるサイバー攻撃について注意喚起

  4. もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催

    もし我が社のAWSアカウントが、ペネトレーションテストツール「Endgame」で攻撃されたら ~ SHIFT SECURITY オンラインセミナー開催PR

  5. メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

    メールアカウント7件に不正アクセス、海外への迷惑メール送信の踏み台に(エコ・プロジェクト協同組合)

  6. 岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

    岡野バルブ製造のグループシステムへサイバー攻撃、ランサムウェアに感染

  7. LogStareのSOCの窓 第一回「錠前を購入したが施錠せず」

    LogStareのSOCの窓 第一回「錠前を購入したが施錠せず」

  8. 製品の使用停止呼びかけ、バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

    製品の使用停止呼びかけ、バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

  9. NISC、大型連休明けに確認が必要な4点の情報について製品名を挙げて注意喚起

    NISC、大型連休明けに確認が必要な4点の情報について製品名を挙げて注意喚起

  10. 日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催

    日本で最もセキュリティを大切にする大手通販が経験者採用中 ~ ジャパネットセキュリティ担当者座談会 5/18、6/8(火)19時開催PR

ランキングをもっと見る