総務省が作成したセキュリティ要件ガイドブックは、クラウド・プラットフォームの構築事業に携わる者に対し、求められるセキュリティ要件を示したものです。これを読めば、セキュリティ要件に関する基本的知識を習得できます。そこで本記事では、セキュリティ要件についてざっくりと理解したい方向けに、本ガイドブックの概要を解説します。
セキュリティ要件とは?
「セキュリティ要件」とは、システムを安全に運用するために、システム開発を始める際に設定するセキュリティに関する目標のことを指します。セキュリティ機能をあとから追加するよりも、システム開発の企画時からセキュリティ対策についてしっかり考えて目標を定め、それをシステム設計に反映させていくほうが低コストで済みます。また、手戻りを少なくできるため、システムの保守性の向上にもつながります。
セキュリティ要件を定義しないと起こりうるリスク
適切なセキュリティ要件をあらかじめ定義しておかないと、開発したシステムにセキュリティ上の欠陥が生じて、リスクの大きなシステムになってしまいかねません。起こりうるリスクとしては、主に「情報漏えい」「Webサイトや情報の改ざん」「情報システムの停止」といったものが考えられます。以下、それぞれのリスクの主因について解説します。
【リスク①】情報漏えい
セキュリティ要件を定義しないことによるリスクの代表的なものとして、まず挙げられるのが情報漏えいです。その主な原因としては、以下の3つが考えられます。
- 悪意ある第三者による攻撃
1つ目の原因は、悪意ある第三者にセキュリティ上の欠陥を見抜かれて、情報を窃取されることです。よくある手口としては、「作成したマルウェアをシステムに感染させる」「セキュリティ上の欠陥を突いて不正アクセスする」などが挙げられます。 - 内部不正
2つ目の原因は、内部不正です。従業員や元従業員といった関係者が、社内の機密データを不正に持ち出して売ったり、悪用したりすることで、情報が外部に漏れるケースも少なくありません。 - ヒューマンエラー
3つ目の原因は、ヒューマンエラーです。たとえば、マニュアルなどの運用面が整備されていない場合、従業員の操作ミスで情報が漏れる可能性は否めません。また、仕事を家でやろうとして、会社から持ち出したパソコンやUSBメモリなどの記憶装置を紛失し、そこから情報が漏れることも考えられます。
もし、セキュリティ要件を定義しなかったために情報漏えいが起こり、企業の機密情報や個人情報が流出してしまうと、システム開発者は社会的信用を喪失するだけでは済みません。多額の損害賠償費用が発生したり、法的制裁が加えられたりするおそれもあるため要注意です。
【リスク②】Webサイトや情報の改ざん
セキュリティの要件定義がらみのリスクとして、Webサイトや情報の改ざんも無視できません。その発生原因としては、関係者による内部不正や、第三者によるマルウェアを利用したアクセス制限の乗っ取りなどが考えられます。また、Webサイトやシステムが抱える脆弱性の問題を放置していると、それに気づいた第三者による攻撃を許してしまうおそれもあります。
特にWebサイトの改ざんは、そのサイトを訪れた人たちにまでマルウェアの被害を拡大させる可能性があるため、注意が必要です。あるいは偽の情報を人々に与えて、特定の企業を陥れたり、社会的混乱を招いたりすることを目的とするケースも多く、被害が大きくなりやすい傾向にあります。
【リスク③】情報システムの停止
情報システムの停止も、セキュリティの要件定義に関わる大きなリスクのひとつです。その発生原因としては、システムの中心的役割を担うサーバーなどに対する、第三者によるDoS/DDoS攻撃などが挙げられます。
ちなみに「DoS/DDoS攻撃」とは、サービスを停止に追い込むために、サーバーなどに過剰な負荷をかけてダウンさせたり、脆弱性を狙いうちしてシステムをダウンさせたりする攻撃のことで、「サービス拒否攻撃」とも呼ばれます。攻撃元のコンピュータが1台ならばDoS攻撃、複数台ならばDDoS攻撃といいます。
また情報システムの停止は、DoS/DDoS攻撃のようなサイバー攻撃以外にも、地震や台風などの環境的脅威による被害でも発生します。
システムのセキュリティ対策には要件定義が不可欠
上記のようなリスクを最小限に抑えるためには、システムのセキュリティ対策を講じる必要があります。そして、それに不可欠となるのが要件定義です。以下では、セキュリティの要件定義について簡単にご説明します。
セキュリティの要件定義が重要な理由
セキュリティの要件定義が重要な理由は、適切な要件定義を行ったうえで、それに沿ってシステムを開発することにより、システムの悪用を未然に防止できるからです。たとえば、開発者の意図に反した用途外の使用に制限をかけたり、ソフトウェアの脆弱化を防いだりすることが可能です。
要件定義の作成
要件定義を作成するには、まずユーザー認証やアクセス制御など、セキュリティ対策を講じる脆弱性の種類を決定します。そして、実現可能な目標設定となるように、業界のベストプラクティスなどを考慮しつつ、具体的に何を実施するかを明記します。たとえば、「OWASP(Open Web Application Security Project)」が公開している「Webシステム/Webアプリケーションセキュリティ要件書」を活用して、要件定義を作成するのもよいでしょう。
セキュリティ要件の種類を抜粋
総務省が2015年に作成した「セキュリティ要件ガイドブック」は、実は学習・教育クラウドに特化したセキュリティ要件について書かれたものです。しかし、その中で取り上げられている内容は、一般的なセキュリティ要件に関しても当てはまります。ここでは、本ガイドブックから主要なセキュリティ要件の種類を抜粋して紹介します。
内部組織
1つ目の要件は、プラットフォームのセキュリティにおける内部組織(セキュリティ管理組織)の役割についてです。セキュリティ対策において誰が責任を負うのかを明確にし、対策の実施を確実なものとするために、中心となって働く内部組織について明記しています。
人的資源
2つ目の要件は人的資源、すなわち組織に所属する従業員や契約パートナー企業などに関するものです。人的資源においては、セキュリティに関する事項を契約時に取り決めたり、適宜研修や訓練によってITガバナンスを遵守させたりといったことが求められます。
資産の管理
3つ目の要件は、資産の管理です。組織の資産に対する責任や、情報資産の分類とレベル分け、媒体の取り扱いなどを明らかにして、対策を行う必要があります。利用者の個人情報などの資産を適切に管理し、その利用に関する規則を文書化すること、そして従業員などに対して契約終了時に資産をすべて返却するよう求めることが盛り込まれています。
アクセス制御
4つ目の要件は、アクセス制御です。この要件は、プラットフォームに対する多岐にわたるアクセスの制御に関する内容となっています。情報セキュリティの要求事項に基づく文書化を行い、可用性の考え方を取り入れて、利用者が必要なときに必要な情報にのみアクセスできるよう、アクセスを管理・制限します。
物理的および環境的セキュリティ
5つ目の要件は、物理的および環境的セキュリティです。これは災害・停電・盗難・破壊などからシステムを保護して、環境的なセキュリティを高めるための要件です。また、セキュリティを保つべき境界(オフィス・部屋・施設)を入退出管理により制限するなどして、物理的なセキュリティについても高めます。
運用のセキュリティ
6つ目の要件は、運用のセキュリティです。ここでは運用上のミスをなくすための取り組みとして、必要なものをまとめています。たとえば、「操作ミスによりデータの喪失などが起こらないよう、手順をマニュアル化するなどの対策をとる」「システムの性能不足でサービスが停止しないよう、必要な性能を予測して将来の需要に備える」といった事柄について言及しています。
まとめ
セキュリティ要件とは、システムの保守性を保つうえで欠かせない目標です。特に、コロナ禍でテレワークを導入する企業が増えた近年では、セキュリティの重要性がますます高まっています。
企業のセキュリティ対策をより強化するためには、包括的なセキュリティサービスを利用するのも手段の1つです。
三和コムテックの「SCT SECURE」は組織のセキュリティリスクを包括的に管理し、脆弱性診断から対策実施までをサポートするサービスを提供しています。
これにより、情報漏洩やサイバー攻撃のリスクを最小限に抑え、安心してビジネスを展開できます。
詳細については、下記ページをご覧ください。
