1.1.     情報セキュリティ対策の基本

• ソフトウェアの更新
• ウイルス対策ソフトの導入
• パスワード・認証の強化
• 設定の見直し
• 脅威・手口を知る
  • （リスクの大きさに応じた対策：リスク＝情報の資産価値×脅威の大きさ×脆弱性）

• ⇒どれだけお金をかけてもリスクは０にならない。如何に効率的、効果的に対策を講ずるかを考える。脆弱性の最大の要因は人。ITスキルを高めるとともに、管理的対策としてルールを定め、技術的対策は、フールプルーフ（ヒューマンエラー（利用者が行う誤った操作）が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計）が重要

1.2.     【対策】情報セキュリティ 10 大脅威（個人）

• インターネットバンキングやクレジットカード情報の不正利用
  • •OS・ソフトウェアの更新
  • •ウイルス対策ソフトの導入
  • •事例や手口を知る
  • •二要素認証等の強い認証方式の利用
• ランサムウェアを使った詐欺・恐喝
  • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
  • PC利用者
    • •定期的なバックアップ（PCだけではなく、共有サーバーも）
    • また、復元できるかの事前の確認
    • •OS・ソフトウェアの更新
    • •ウイルス対策ソフトの導入・更新
    • •メールの添付ファイル・リンクのURLを不用意に開かない
  • スマートフォン利用者
    • •ウイルス対策ソフトの導入・更新
• 審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ
  • スマートフォン利用者
    • •信頼できるアプリかどうかを確認
    • •アクセス権限の確認
    • •OSやアプリは最新版を利用
    • •ウイルス対策ソフトの導入
• 巧妙・悪質化するワンクリック請求
  • ウェブサービスの利用者
    • •怪しいソフトウェアは利用しない
    • •怪しいサイト・メールは開かない
    • •事例・手口の情報収集
  • ※購入の意思がないのであれば金銭を要求されても、慌てず請求に応じない
• ウェブサービスへの不正ログイン
  • ウェブサービス利用者
    • •推測されにくく、長いパスワードを設定する
    • •パスワードを使い回さない
    • •二要素認証等の強い認証方式の利用
    • •ログイン履歴の確認
  • ウェブサービス提供ベンダー
    • •安全なウェブサービスの提供
    • •複雑なパスワード設定を要求（少ない文字数や記号無しの拒否等）
    • •二要素認証等の強い認証方式の提供
    • •セキュリティ対策の徹底
• 匿名によるネット上の誹謗・中傷
• ウェブサービスからの個人情報の搾取
  • ウェブサービス運営者
    • •セキュアなウェブサービスの構築
    • （登録する個人情報も必要最低限に）
    • •OS・ソフトウェアの更新
    • •WAF・IPSの導入
  • ウェブサービス利用者
    • •不要な情報は極力サイトに登録しない
• 情報モラル不足に伴う犯罪の低年齢化
• 職業倫理欠如による不適切な情報公開
• インターネットの広告機能を悪用した攻撃

1.3.     【対策】情報セキュリティ 10 大脅威（組織）

• 標的型攻撃による情報流出
  • ウイルスを添付したメールや、不正なWebサイトへ誘導するためのURLを記載したメール
  • チェックリスト
    • □送信者の名前やアドレスが見慣れないものである。
    • □組織内の話題なのに、外部のメールアドレスから届いている。
    • □フリーのメールアドレスから届いている。
    • □添付ファイルを開くよう、記載URLをクリックするよう不自然に誘導している。
    • □「緊急」などと急がせて、メールの内容を吟味させまいとしている。
    • □送信者の署名が無いか曖昧である。
    • □送信者の名前や組織名として、架空のものを名乗っている。
    • □受信者が信頼しそうな組織になりすまし、ウェブでの公開情報を送付してくる。
    • □上記以外で不審な箇所がある。
  • 経営者層
    • •問題に迅速に対応できる体制の構築
    • •対策予算の確保と継続的な対策実施
  • システム管理者
    • •情報の取扱い・保管状態の確認
    • •システム設計対策・アクセス制限
    • •ネットワーク監視・分離
  • セキュリティ担当部署
    • •セキュリティ教育の実施
    • •情報の保管方法ルール策定
    • •サイバー攻撃に関する情報共有
  • 従業員・職員
    • •セキュリティ教育の受講
    • •OS・ソフトウェアの更新
    • •ウイルス対策ソフトの導入・更新
• 内部不正による情報漏えいとそれに伴う業務停止
  • 組織
    • •情報取扱ポリシー作成および周知徹底・機密保護に関する誓約
    • •資産の把握・体制の整備
    • •情報の取扱教育の実施
    • •重要情報の管理・保護
    • •アカウント、権限の管理・定期監査
    • •システム操作の記録・監視
  • サービス利用者
    • •情報の管理が適切かを確認
• ウェブサービスからの個人情報の搾取
  • ウェブサービス運営者
    • •セキュアなウェブサービスの構築
    • （登録する個人情報も必要最低限に）
    • •OS・ソフトウェアの更新
    • •WAF・IPSの導入
  • ウェブサービス利用者
    • •不要な情報は極力サイトに登録しない
• サービス妨害攻撃によるサービスの停止
  • 個人・組織
    • •OS・ソフトウェアの更新
      • 踏み台にならないため、利用している機器も含めて管理
  • 組織
    • •DDoS攻撃の影響を緩和するISP等によるサービスの利用
    • •通信制御（DDoS攻撃元をブロック等）
    • •システムの冗長化等の軽減策
    • •サイト停止時の代替サーバーの用意
• ウェブサイトの改ざん
  • ウェブサイト運営者
    • •OS・サーバーソフトウェアの更新
    • •サーバーソフトウェアの設定の見直し
    • •ウェブアプリケーションの脆弱性対策
    • •アカウント・パスワードの適切な管理
    • •信頼できないサーバーソフトウェアを利用しない
    • •改ざん検知ソフトウェアの利用
  • ウェブサイト利用者
    • •OS・ソフトウェアの更新
    • •ウイルス対策ソフトの導入
• 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加
  • システム管理者
    • •担当するシステムの把握・管理の徹底
    • •継続的な脆弱性対策情報の収集
    • •脆弱性発見時の対応手順の作成
    • •ソフトウェアの更新または緩和策
    • •ネットワークの適切なアクセス制限
  • ソフトウェア利用者
    • •利用しているソフトウェアの把握
    • •定期的な脆弱性情報の収集
    • •ソフトウェアの更新または緩和策
  • ソフトウェア開発ベンダー
    • •製品に組み込まれているソフトウェアの把握・管理の徹底
    • •継続的な脆弱性対策情報の収集
    • •脆弱性発見時の対応手順の作成
    • •情報を迅速に展開できる仕組みの整備
• ランサムウェアを使った詐欺・恐喝
  • 悪意のあるプログラムによって、PC内のファイルが閲覧・編集できない形に暗号化され、ファイル復元の身代金として、利用者が金銭を要求される被害
  • PC利用者
    • •定期的なバックアップ（PCだけではなく、共有サーバーも）
    • また、復元できるかの事前の確認
    • •OS・ソフトウェアの更新
    • •ウイルス対策ソフトの導入・更新
    • •メールの添付ファイル・リンクのURLを不用意に開かない
  • スマートフォン利用者
    • •ウイルス対策ソフトの導入・更新
• インターネットバンキングやクレジットカード情報の不正利用
  • •OS・ソフトウェアの更新
  • •ウイルス対策ソフトの導入
  • •事例や手口を知る
  • •二要素認証等の強い認証方式の利用
• ウェブサービスへの不正ログイン
  • 攻撃者が不正に入手したIDやパスワードでログインを試みる
• 過失による情報漏えい
  • ルールの明文化と遵守
  • フールプルーフ
    • ヒューマンエラー（利用者が行う誤った操作）が起こっても、危険な状況にならないようにするか、そもそも間違った操作が出来ないようにする設計
  •  

1.4.     【対策】注目すべき脅威や懸念

• サポートの終了したソフトウェアを継続使用する危険性
  • 最新版への移行を
  • 移行できない場合はリスク緩和策
    • •ネットワークに繋がっていない環境で利用する、等
    • •ただし、脆弱性が解消される訳ではないため、早急な移行を
  • 組織においては計画的な移行を
    • •互換性の問題により移行できないケースを想定し、以下を考慮
      • 特定の製品やバージョンに依存しない
      • ソフトウェア製品のライフサイクル
• 証明書の導入・設定不備や検証不備に起因する脅威と対策
  • 事業者が注意すべきこと
    • 認証局発行でない自己署名証明書をルート証明書にインストールするソフトウェアを開発・配布しない
    • 秘密鍵を他者に配布することで動作するソフトウェアを開発・配布しない
    • 証明書に関する問題が発見された場合、速やかに脆弱性情報を公開すると共に、更新プログラム等の解決策を提供
  • 利用者として注意すべきこと
    • 最新情報の収集に努め、更新プログラム等が提供された場合、早急に適用する
    • 不審なソフトウェアはインストールしない
• マイナンバーの管理・運用の重要性
  • 個人として注意すべきこと
    • 趣旨と提示範囲の理解
      • •マイナンバーは、法令に定められた社会保障・税・災害対策の行政手続のためのみに提示、等制度の趣旨と開示範囲が決まっている
    • 保存・送信する場合
      • •PC等に電子化して保存する場合は、情報自体を暗号化し、端末操作にパスワード入力や指紋認証等の本人確認を必須となるように設定
      • •メール等のネットワーク経由で送信する場合、暗号化や改ざん防止を
  • 事業者が注意すべきこと
    • 特定個人情報の取扱いに関するガイドラインを遵守
      • •法令に定められた利用制限、厳重な管理、提供・収集の制限を実施
    • 継続的なセキュリティ対策の見直し・実施
    • 業種別の個別のガイドラインへの遵守も
      • •金融業務にかかわる事業者や行政機関・地方公共団体等

1.5       サービス提供と情報セキュリティ対策

• 提供するサービスの迅速化と一層の充実等
  • （政府情報システムの整備及び管理に関する標準ガイドライン実務手引書より）
  • インターネットの普及に伴い行政サービスの24時間365日提供に対する要請が高まる中、即時性が要求される申請等や提供するサービス内容の多様化・複雑化等に対応するために、業務手続の標準化と徹底した電子化の推進、情報セキュリティ上の要件を満たす前提での外部委託の活用、手続の統合による共通の情報システムの活用等を検討する。
• 情報セキュリティ対策は
  • サービスの向上を図るために、情報資産（保有情報（媒体に依らず）、情報機器、情報システム）に対する情報セキュリティ上のリスクを低減させる

情報システムの整備と運用管理を調達する際の情報セキュリティ対策要件（メモ）

2016年4月12日

中山正樹

「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」に示された要件のうち、特にセキュリティに関連する部分を抜粋し、解説を加えたもの。

システム開発、運用を調達する場合に明示すべき要件が網羅的に提示されている。

目次

1. 「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」より.. 1

1.1.     プロジェクトの管理... 1

1.1.1.     プロジェクト管理要領の記載内容（プロジェクト計画書等の作成）... 1

1.2.     業務の見直し... 6

1.2.1.     業務要件の定義... 6

1.3.     要件定義... 7

1.3.1.     非機能要件（要件定義書の記載事項）... 7

1.4.     設計・開発... 9

1.4.1.     設計・開発実施要領の記載内容（設計・開発実施計画書等の作成）... 9

1.5.     業務の運営と改善... 9

1.5.1.     日常運営における業務改善の実施方法（日常運営における業務改善）... 9

1.6.     運用及び保守... 10

1.6.1.     運用実施要領の作成・記載内容（運用開始前の準備）... 10

1.6.2.     保守実施要領の作成・記載内容（運用開始前の準備）... 10

1.7.     システム監査の計画... 11

1.7.1.     システム監査計画の策定... 11 

1.       「政府情報システムの整備及び管理に関する標準ガイドライン実務手引書」より

1.1.     プロジェクトの管理

1.1.1.      プロジェクト管理要領の記載内容（プロジェクト計画書等の作成）

(1)   リスク管理

• リスク顕在時の報告先、報告内容、リスクの管理手法等を記載する
• 情報セキュリティリスクについては、自府省の情報セキュリティポリシーを参照
• 趣旨
• プロジェクトの目標達成を阻害する予期し得ない事態をリスクという。多種多様なリスクについて、その顕在化前から発生の要因分析と影響、確率を評価するとともに、予防策や顕在化した際の原因追及、プロジェクトへの影響の把握、対応策の実施及び結果を評価するため、リスクの管理手法等を記載するものである。
• リスクには、プロジェクト遂行上発生するおそれがあることがプロジェクトの計画段階で判断可能なもの、遂行中に新たに発生するおそれがあることが判明又は顕在化するもの、レビュー制度において判明するものがある。
• 段階別では、計画策定段階のリスク（政策等の要求による非常に短期の開発スケジュールを要因とするリスク等）、要件定義段階のリスク（適切な要件を網羅できない又は過剰な事項まで要件としてしまうリスク等）、調達リスク（適切な事業者が選定できないリスク、調達したハードウェア等の瑕疵、情報システム等に内在する情報セキュリティリスク等）、制度改定、関連法令等への遵守に関係するリスク（コンプライアンスのリスク）等が存在するため、ＰＪＭＯはこれらを把握し、分析・評価結果を踏まえて適切な対応を指示する必要がある。
• また、ＰＪＭＯは、プロジェクトの各工程において発生する可能性のある全てのリスク（プロジェクト遅延リスク、成果物の瑕疵リスク、コスト増大リスク、サービスレベルの低下リスク、情報セキュリティリスク等）も把握し、分析・評価結果を踏まえて適切な対応を指示する必要がある。リスク対応策は、リスクの内容に応じて、リスク管理に関する会議やＰＪＭＯが決定する。
• リスク対応の結果については、ＰＪＭＯがＰＭＯに報告し承認を得る。
• 上記について、ＰＪＭＯは、その都度、統括してリスク管理簿注）にまとめ、適切に管理するとともに、プロジェクト関係者間で常に共有する。特にリスク対応の状況については、継続的なフォローを行い、適時に対応状況の報告を受ける。
• 注）実務手引書「第３編第２章別紙２－４　６．リスク管理簿の例」参照。
• リスク管理の要点
• 個々のリスクの要因や特徴、発生頻度等の網羅的な把握により、プロジェクトを遂行することに影響する重要なリスクが適切に識別、分析、管理及び報告されるとともに、対策の実行及びその有効性に関する評価が行われることとなる。
• ＰＪＭＯは、政策目的・目標の達成を阻害するリスク、各事業者は、契約に定めた目標の達成（成果物の完成、業務品質水準の達成等）を阻害するリスクについて、それぞれ管理する責任があるため、ＰＪＭＯは、自らが責任を負うべきリスク管理を実施するとともに、各事業者においても適切なリスク管理の実施を要求し、その状況を把握する。
• リスク管理の活動
• リスク管理は次の活動から構成される。
• (1)データの収集
• プロジェクトを遂行することに関わるリスクの効果的な特定、分析及び報告ができるように、関連するデータの特定と収集を行う。
• 各種リスクに関する事象のタイプ、リスクのカテゴリ、発生要因に関して、当該プロジェクトに関係するリスクに関わるデータを収集、分類及び分析するための方法を確立し、適宜見直しを行う。
• 当該プロジェクトを遂行することにおけるリスクの管理において、プロジェクトの対象となっている業務及び情報システムの実行に影響する内外の環境に関するデータを収集する。また、この際、過去のプロジェクトからの経験についても調査を行う注）。
• 注）実務手引書「第３編第２章別紙２－４　１ リスクの要因」参照。
• (2)リスクの分析及び対応策の検討
• リスクの要因及び業務の関連性を考慮して、リスクに関する対応を決定するために必要な情報を取りまとめる。
• このために、リスクの要因及び業務に対する重要性を考慮し、リスク分析を行う範囲及び深さについて検討を行い、費用対効果も考慮したリスク分析の範囲を設定する。
• リスクは、単独の事象としてだけではなく、一連の事象として連鎖して発生することも多いことを考慮し、脅威の種類、リスクの原因となる行為を行う可能性のある者、発生する可能性のある事象、影響を受ける可能性のある資産等、発生のタイミング等をリスクシナリオとしてまとめ、その影響及び頻度（発生確率）を推定する注）。
• リスクシナリオについて、そのコントロール及び対策並びに残存リスクについて評価を行い、残存リスクについて、更なる対策を検討する必要性の有無を検討する。
• 費用対効果の分析を行い、回避、低減・軽減、移転・共有及び受容といった、最適なリスク対応策をまとめる。なお、ＩＳＯ 31000又はＪＩＳ Ｑ 31000（リスクマネジメント－原則及び指針）を参照することは有用である。
• 取りまとめたリスク対応策について、レビューを行う。
• リスクを必要十分なレベルまで低減するため、対応策の優先順位付けを行って、実行を管理する。
• 注）実務手引書「第３編第２章別紙２－４　２ リスク分析を実施する際の検討項目」、同「第３編第２章別紙２－４　３ リスク分析を行う分野の例」及び同「第３編第２章別紙２－４　４ リスク評価を行う際の書式（リスクシナリオ）例」参照。
• （参考：クラウドコンピューティングサービスの利用を考慮する場合）
• 利用によるメリットとリスクのバランスの考察（リスクの最適化）
• クラウドコンピューティングサービスを利活用することによるメリットとしてどのようなものがあるのかを理解し、利用によって生じ得るリスクと、利用しないことによって生じるリスクを理解して、その二つの面から、適切に判断することが肝要である。
• クラウドコンピューティングサービスの利活用のメリットの例（これらは、利活用しない場合のリスクの項目と対応する。）
• 情報システム基盤を調達せずに、既に実績のあるサービスを利用できるため、政策課題への迅速な対応、調達費用の最小化等が期待できる
• 利用量に応じた課金となっているため、利用に係るコストの最適化を行うことが期待できる
• 災害時における復旧を速やかに行うことが期待できる
• 規模の拡張若しくは縮小が容易である　等
• クラウドコンピューティングサービスを利用することによって生じ得るリスクの例
• サービスレベルはベンダーが提示するものに固定される
• データセンタが海外に存在する場合、日本の法規制が適用されない
• サービス形態によっては、システム監査を実施できない
• データの所有権の帰属が曖昧になることがある　等
• リスクへの対応

• (3)リスクとその属性についての情報を最新の状態に維持
• リスクに適切に対応するためには、次の事項について明確化しておくことが望ましい。
• 既知のリスクとその属性（予想される頻度、潜在的な影響及び対応）
• リスクが影響する資源
• リスクに対応する組織の力
• 現状におけるリスクをコントロールする活動の状況
• このためには、各計画書や構成管理等の資料を活用する。また、他において顕在化したリスクに関する情報を集め、リスクとその属性に関する情報を最新の状態に維持する。
• これらの情報を基に、定期的にリスクへの対応策の見直し、優先順位付けの変更等について必要性を判断し、変更を行う。
• (4)リスクに関する理解の促進
• 適切にリスクに対応するために、必要な関係者に対して、適時に、リスクの発生により顕在化する状況について情報を提供する。
• このため、影響を受ける関係者にとって具体的かつ理解しやすい形式で、またリスクの影響と発生確率に係る根拠も含めてリスク分析結果を取りまとめる。さらに、最悪で、かつ、最も発生可能性の高いリスクシナリオ、コンプライアンス上の重要事項等も取りまとめる。
• 取りまとめたものは、リスク管理プロセスの有効性、コントロールの有効性、現状における問題点等を整理し、関係者で共通理解を得る。
• 必要に応じて、第三者の評価、システム監査、工程レビュー等の結果を評価して、更なるリスク分析を実行する必要性を判断する。
• (5)リスクのモニタリングと対応策の見直し
• リスクを低減するための一連のコントロール活動を整理し、その有効性等を評価して、対応策及びコントロール活動の優先順位を定義する。リスクに関するモニタリングを継続的に実施し、コントロールの有効性を判断し、適宜見直しを行う。
• (6)リスク顕在時の対応
• リスク顕在時に適切に対応するためには、次の事項を考慮しておくことが望ましい。
• 予兆の検出
• 地震等の突発的自然災害等によるリスクを除くと、リスクが顕在化する前には予兆が発生していることが多いため、ＰＪＭＯは、府省ＣＩＯ補佐官等の助言を受けつつ、日常的に注意深く、プロジェクト実行現場の状況や、プロジェクトに影響を与え得る外部環境の変化を把握することが必要である。
• 対応の準備
• リスクに関するインシデント（事象）が発生した場合、その影響を最小化するために適切に対応するためには、あらかじめ対応の計画を準備し、その更新とテストを行う中で、インシデントが発生したときの対応の手続も点検しておく必要がある。
• リスクの顕在化時（インシデント発生時）の対応
• 実際にインシデントが発生した場合は、影響を最小化するため、事前に計画において定めた手順により速やかに対応を行う。
• (7)リスク対応結果の評価とその後の対応
• リスク対応を行った後、過去の有害事象等の情報等も参照しつつ、インシデント発生の根本原因、追加対策、対応手続の改善等について取りまとめ、関係者に報告を行う。
• リスク対応及びその結果は、当該リスクの性格に応じて、工程管理、品質管理、課題管理、変更管理、構成管理等に影響を与えるため、ＰＪＭＯは、リスクへの対応の計画に基づき、それぞれの個別管理における対応へと引き継ぐべき事項を判断し、適切に対処する。
• また、ＰＪＭＯは、ＰＭＯに対応結果を報告するとともに、必要に応じてプロジェクト計画書等の修正等を行う。
• (8)留意事項
• (2)で述べたように、リスクは連鎖するものであるという認識が重要である。
• 例えば、個人情報の漏えいといった情報セキュリティ上のリスクが顕在化した場合に、初期対応を誤ると、最終的には当該情報システムを利用している業務そのものに対する国民からの信頼を失墜するリスクにまでつながりかねない。
• 一つのリスクの顕在化を発端として、各種のリスクへとつながる可能性があることを認識し、連鎖する可能性のあるリスクについてあらかじめ十分に検討し、対策を検討しておくことが肝要である。

1.2.     業務の見直し

1.2.1.      業務要件の定義

(1)   情報セキュリティ

業務において取り扱われる情報の格付・取扱制限等に応じた情報セキュリティ対策の基本的な考え方

• 情報セキュリティ対策の基本的な考え方等の定義方法
• (1)本項目の趣旨
• 見直し後の業務を実施する上で必要な情報セキュリティ対策の基本的な考え方を明らかにするものである。
• この段階で見直し後の業務における情報の取扱いに関する考え方を明らかにすることにより、要件定義段階において、情報システムに求める機能要件及び非機能要件を漏れなく定義することができる。
• (2)定義手順
• 情報セキュリティ対策の対象となる情報を明確化するために、実務手引書に係る解説及び取扱情報の洗い出し結果を確認する。
• また、要件定義の段階で情報セキュリティ上のリスクを特定し、その対策を機能要件及び非機能要件として定義できるように、情報セキュリティ対策の対象となる情報について、自府省の情報セキュリティポリシーに準拠した格付の区分及び取扱制限を明確化する。特に、新たな業務を開始するに当たって情報システムを新規に整備する場合や、既存の業務の見直しに伴って新たに取り扱う情報がある場合を中心として行うが、従来の格付についても必要に応じて見直しを行う。
• 情報漏えい等による個人のプライバシーの侵害や、国民・組織に財産上の被害を与える等、情報の機密性保護に係るリスクに対する対策は特に重要であるが、情報の改ざんや情報システムの停止による利用者への影響についても考慮する必要がある。

【表４－33】(参考)機密性についての格付の区分^注）

注）政府機関の情報セキュリティ対策のための統一基準群を引用しているが、自府省が定める情報セキュリティポリシーに従うこと。また、完全性、可用性の格付の区分についても同様に自府省が定める情報セキュリティポリシーに従うこと。

• さらに、情報の取扱いについて定められている根拠法令（例えば行政機関個人情報保護法、番号法等）が存在する場合は、要件定義の段階で当該法令を遵守するために必要な情報セキュリティ対策に漏れが生じないよう適切に要件を定める必要があるため、当該法令の存在について確認する。
• また、実務手引書において情報の漏えい、改ざん等の情報セキュリティに係る問題点が洗い出されている場合は、実務手引書及び問題点を踏まえたものとなっているかを確認する。
• 業務で取り扱う情報の格付及び取扱制限について整理した結果が、この段階における情報セキュリティ対策の基本的な考え方となる。

1.3.     要件定義

1.3.1.      非機能要件（要件定義書の記載事項）

(1)   情報セキュリティに関する事項

• 情報システムの情報セキュリティ対策に関する事項について記載する。特に、「第４章５．8) 情報セキュリティ」において検討した内容に照らし、過度にならないよう適切な要件とすること。また、記載に当たっては、自府省の情報セキュリティポリシーを参照のこと
• (1)本項目の趣旨
• 情報セキュリティは、自府省が扱う情報を適切に保護し、業務の継続性の確保、業務に対する信頼の維持のために重要な事項である。自府省の情報セキュリティポリシーを踏まえ、当該情報システムにおいて実現しなければならない情報セキュリティに関する事項を、当該業務の特性を踏まえて整理し、要件定義書に記載するものである。
• (2)記載方法
• 情報セキュリティ対策要件の記載方法及び記載例は、次のとおりである。
• 情報セキュリティ対策要件
• 自府省において定められた情報セキュリティポリシーを遵守するために必要な情報セキュリティ対策の内容について、具体的に記載する。
• 記載に当たっては、自府省の情報セキュリティポリシーを参照するとともに、必要に応じて「政府機関の情報セキュリティ対策のための統一基準群」及び「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」（平成23年４月28日内閣官房情報セキュリティセンター）等を参照し、必要な対策を漏れなく記載する。
• 情報セキュリティ対策
• 本情報システムにおいて実現すべき情報セキュリティ対策を記載する。記載事項は、上記基準等及びその他の情報セキュリティ対策要件に準拠するよう定める。ただし、不必要に過度な対策とならないよう、必要性を十分検討した上で記載する。
• 例：
• 主体認証
• アクセス制御
• 権限管理
• ログ取得及びログ管理
• 暗号化及び電子署名
• ソフトウェアの脆弱性対策
• 不正プログラム対策
• サービス不能攻撃対策
• 標的型攻撃対策
• 対策に係る要件
• 上記基準等及びその他の情報セキュリティ対策要件を参照し、上記情報セキュリティ対策ごとに、情報システムにおいて提供する業務及び取り扱う情報の特性等に応じた対策要件を具体的に記載する。
• 補足
• 基本要件のみを記載し具体的な方式の提案を求めるもの、代替手法による対策の提案を許容するもの等の補足事項について記載する。また、特定の基準等への準拠を求めるものについては、当該基準等を補足欄において指定する。

1.4.     設計・開発

1.4.1.      設計・開発実施要領の記載内容（設計・開発実施計画書等の作成）

(1)   情報セキュリティ

設計・開発における情報漏えい対策等について記載する。

• 本項目の趣旨
• 本項目は、設計・開発業務を遂行する上での情報セキュリティに対する基本的な考え方、情報セキュリティの管理方法等について記載するものである。
• 記載内容
• 要件定義の情報セキュリティに関する事項注１）及び調達仕様書における情報セキュリティに係る内容注２）に基づき、「政府機関の情報セキュリティ対策のための統一基準群」及び自府省の情報セキュリティポリシーに準拠して、次に示す例を参考に情報セキュリティ確保に必要な対策を定めて記載する。
• 注１）実務手引書「第３編第５章２．1)ウj) 情報セキュリティに関する事項」参照。
• 注２）実務手引書「第３編第６章２．1)カ 作業の実施に当たっての遵守事項」参照。
•  
• （設計・開発に係る情報セキュリティ対策の例）
• 情報・データ管理（情報・データの授受、廃棄等の管理、特に実データ、実帳票の管理方法）
• アクセス管理方法（主体認証情報管理、アクセス権限管理等）
• 不正アクセス監視
• ログ管理、ログ分析
• 開発用ＰＣの管理方法（開発終了時のファイルの完全削除等）
• 作業環境の物理的セキュリティ対策（入退室管理等）
• 守秘義務同意書の作成
• 脆弱性対策等の情報セキュリティ対策の実施状況の管理　等

1.5.     業務の運営と改善

1.5.1.      日常運営における業務改善の実施方法（日常運営における業務改善）

(1)   リスク及び課題とその原因

• 情報セキュリティ対策の徹底
• 情報の紛失、漏えい、改ざん等のおそれが生じている場合
• サービス利用者等からのプライバシー保護等に関する要求が現状と大きく乖離している場合
• 実施方法
• 対応すべきリスクや課題のうち、改善及び見直しの手段が情報システムの運用又は保守に関するものについては、ＰＪＭＯのうち情報システム部門の管理者・担当職員が中心となって、運用及び保守作業の改善注１）や運用計画及び保守作業計画の見直し注２）を実施する。
• また、日常運営における業務改善や情報システムの運用及び保守の改善だけでは対応できない残存課題・リスクについては、情報システムの見直し注３）の必要性について検討する。
• 注１）実務手引書「第３編第９章４．運用及び保守作業の改善」参照。
• 注２）実務手引書「第３編第９章６．運用計画及び保守作業計画の見直し」参照。
• 注３）標準ガイドライン「第３編第１１章 情報システムの見直し又は廃止」参照。

1.6.     運用及び保守

1.6.1.      運用実施要領の作成・記載内容（運用開始前の準備）

(1)   情報セキュリティ対策

運用における情報漏えい対策等について記載する。

• 趣旨
• 本項目は、運用業務を遂行する上で、情報セキュリティポリシーを遵守するための基本的な考え方、情報セキュリティの管理方法等について記載するものである。
• 記載内容
• 要件定義の情報セキュリティに関する事項注１）及び調達仕様書における情報セキュリティに係る内容注２）に基づき、情報セキュリティ確保のための管理項目やその内容について記載する。なお、各管理項目における具体的な手順等は、作業手順書として別途作成する。特に、異常検知時の報告所要時間やログの点検間隔等、定量的に記載できるものは定量的に記載することが望ましい。
• 注１）実務手引書「第３編第５章２．1)ウj) 情報セキュリティに関する事項」参照。
• 注２）実務手引書「第３編第６章２．1)カ 作業の実施に当たっての遵守事項」参照。
•  
• （情報セキュリティ確保のための管理項目の例）
• 情報・データ管理（情報・データの授受、廃棄等の管理）
• アクセス管理（主体認証情報管理、アクセス権限管理等）
• 不正アクセス監視
• ログ管理、ログ分析
• 脆弱性対策等の情報セキュリティ対策の実施状況の管理　等

1.6.2.      保守実施要領の作成・記載内容（運用開始前の準備）

(1)   情報セキュリティ対策

保守における情報漏えい対策等について記載する。

• 本項目の趣旨
• 本項目は、保守業務を遂行する上で、情報セキュリティポリシーを遵守するための基本的な考え方、情報セキュリティの管理方法等について記載するものである。
• 記載内容
• 要件定義の情報セキュリティに関する事項注１）及び調達仕様書における情報セキュリティに係る内容注２）に基づき、情報セキュリティ確保のための管理項目やその内容について記載する。なお、各管理項目における具体的な手順等は、作業手順書として別途作成する。特に、脆弱性改善のためのソフトウェア更新の間隔等、定量的に記載できるものは定量的に記載することが望ましい。
• 注１）実務手引書「第３編第５章２．1)ウj) 情報セキュリティに関する事項」参照。
• 注２）実務手引書「第３編第６章２．1)カ 作業の実施に当たっての遵守事項」参照。

• （情報セキュリティ確保のための管理項目の例）
• 情報・データ管理（情報・データの授受、廃棄等の管理）
• アクセス管理（主体認証情報管理、アクセス権限管理等）
• 不正アクセス監視
• ログ管理、ログ分析
• 脆弱性対策等の情報セキュリティ対策の実施状況の管理　等

1.7.     システム監査の計画

1.7.1.      システム監査計画の策定

• 概要
• 本節では、各府省がシステム監査計画を策定（ＰＭＯが案を作成し、情報化推進委員会等に諮って確定）し、当該計画に基づいて監査を実施することを求める。なお、ＰＭＯ又はＰＪＭＯは、必要に応じて、システム監査計画に記載していない監査を実施することができる注）。
• 注）実務手引書「第３編第10章１．システム監査」参照。
• また、本節は、各府省の情報セキュリティポリシーに基づいて実施する情報セキュリティをテーマとした監査（以下「情報セキュリティ監査」という。）と標準ガイドラインに基づくシステム監査との関係を示すものである。
• 情報セキュリティ監査との関係
• 情報セキュリティは、システム監査におけるテーマの一つである。したがって、標準ガイドラインに基づくシステム監査においても、情報セキュリティがプロジェクトの重大なリスクとして位置付けられる場合には、情報セキュリティをテーマとした監査を実施する必要がある。
• 一方で、このような監査を実施した場合、その内容が情報セキュリティ監査で実施し、又は実施する予定の内容と重複する可能性がある。この場合、ＰＭＯは、情報セキュリティをテーマとする監査を計画するに際し、情報セキュリティ監査の責任者等と協議し、無駄な重複が発生しないように調整するものとする。なお、その際には、システム監査の目的に照らして、情報セキュリティ監査の内容、範囲、実施方法等が十分なものであるか否かを確認した上で、重複を排除する必要がある。
• また、標準ガイドラインに基づくシステム監査の実施により、情報セキュリティ監査の一部を兼ねようとする場合には、両監査の実施主体、監査対象、監査目的等が異なるため、情報セキュリティ監査の監査責任者と十分な協議を行った上でシステム監査計画を策定する必要がある。

体系的・網羅的に有用な情報を提供しているサイト

• 情報セキュリティって何をするの？「ここからセキュリティ！」:情報セキュリティ・ポータルサイト（事象・対象別）  【管理者：情報処理推進機構(IPA)】
• 「不正アクセス防止対策に関する官民意見集約委員会(官民ボード)に参加している内閣官房、警察庁、総務省及び経済産業省と民間事業者等が提供している信頼性が高く網羅的な情報群を事象・対象別に分類してナビゲートするポータルサイトです。

• サイトマップ[みんなでしっかりサイバーセキュリティ]【内閣官房サイバーセキュリティセンター(NISC)】
• NISCが運営するサイバーセキュリティに関する情報のポータルです。 「スマートフォン利用者の方へ」、「家庭で」、「学校で」、「会社で」、「困ったときに」というカテゴリ別に、簡単かつ網羅的に解説されてます。

• 国民のための情報セキュリティサイト【総務省】
• インターネットと情報セキュリティの知識の習得に役だち、利用方法に応じた情報セキュリティ対策を講ずるための基本となる情報を提供しています。
• 情報セキュリティ広場【警視庁】
• 安全な暮らしのための情報の一環で、情報セキュリティに関連する情報を体系的にわかりやすく提供しています。サイバー犯罪相談と検挙事例を通してサイバー犯罪から身を守るために必要な情報を広く都民の皆さんに提供することを目的としています。 インターネット関連企業等で構築されている「サイバー犯罪対策協議会」と連携をとって少しでもみなさんのお役に立てるページを作りました。
• IS702【トレンドマイクロ】
• Security & Trust : 企業ネットワークセキュリティのためのノウハウ＆情報フォーラム 【@IT】