自律性と利便性を両立させたシステム要件の作り方 IPAがガイドブックを公開：重要情報を扱うシステムの管理者が対象

IPAは「重要情報を扱うシステムの要求策定ガイド」を公開した。重要情報を扱うシステムを安定稼働させるために必要な要件策定作業を支援する。

[＠IT]

　情報処理推進機構（IPA）は2023年7月18日、「重要情報を扱うシステムの要求策定ガイド」を公開した。同ガイドを使うことで重要情報を扱うシステムの管理者は「環境の変化に伴う問題やリスク、利便性などの要素について対策を検討しながら要求項目を取捨選択できるようになる」という。

プレスリリース

システムの特性を把握し、問題点と対策を整理する

　重要情報を扱うシステムの要求策定ガイドは、次の3ステップで構成される。

　1ステップ目は「システムの特性評価」。システムの特性を9項目で評価し、享受したい内容を見極める。9項目は、大きく自律性確保と利便性確保に分けられる。

　自律性の観点では、「データの漏えいや改ざんなどの防止」と「データの利用不可やシステム停止などの防止」のどちらかまたは両方を優先すべきか、利便性の観点では「ビジネス環境への対応」と「技術環境への対応」のどちらかまたは両方を優先すべきかを見極める。

利便性確保のための要求項目一覧（提供：IPA）

　2ステップ目は「問題、リスク／利便性要素の選定」。1ステップ目で整理した“享受したい内容”を基に、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、樹形図を使って明確にする。樹形図を俯瞰（ふかん）することで、どの問題やリスクに対策を講じるべきか、どの利便性の要素をどの対策で得るべきかを検討しやすくする。

　3ステップ目は「必要な対策の選定」。明確化した「問題、リスク」や「利便性の要素」に対応する対策を樹形図から選定し、対策ごとの目的と要求項目を確認する。例えば、「暗号鍵の安全、分離保存」の対策には、「暗号鍵をデータと別保管することで、データと暗号鍵を同時に奪われることを防止する」といった目的を示し、「データの暗号鍵に運用者が通常の手段でアクセスできないこと」などの要求項目が明示されている。

自立性確保のための要求項目一覧（提供：IPA）

　IPAは「管理者がシステムの特性や想定されるリスクを踏まえた要求項目を明文化してベンダーと共有することで、より的確なシステム構築、調達、運用ができる」としている。なお、このガイドはIPAのWebサイトからダウンロードできる。