Ⅲ．情報システム室の職務 10．情報システムの取得、開発及び保守に関する基本原則

ここでは、「情報セキュリティマニュアル　管理者編」のうち、

「Ⅲ．情報システム室の職務」の

「10．情報システムの取得、開発及び保守に関する基本原則」について紹介します。

情報セキュリティマニュアル全体の構成については、以下をご参照ください。

情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインのまとめ

認証取得目的ではなくISMSを利用した情報セキュリティマニュアルと情報セキュリティ事故対応ガイドラインの一例です。ISO27001の要求事項については目次までですが付属書Aについては利用者と管理者に分けて作成しています。

Ⅲ．情報システム室の職務
10．情報システムの取得、開発及び保守に関する基本原則
10.1　情報システムのセキュリティ要求事項の分析及び明示
10.2　情報システムのセキュリティ
10.3　暗号による管理策
- 10.3.1　暗号による管理策の使用に関する個別方針
- 10.3.2　暗号鍵の管理
10.4　システムファイルのセキュリティ
10.5　開発及び支援過程におけるセキュリティ
10.6　技術的脆弱性管理
まとめ

Ⅲ．情報システム室の職務

10．情報システムの取得、開発及び保守に関する基本原則

10.1　情報システムのセキュリティ要求事項の分析及び明示

情報システムの開発を行う場合、内製、外部委託を問わず、次の事項を遵守する。

（１）概念設計書で求められる機能を実現するために、プログラムや機能モジュールの構成を具体化する。

（２）システム設計では、外部設計として業務基本仕様書及びシステム基本設計書を、内部設計としては業務詳細設計書及びシステム詳細設計書を作成し、情報システム室を含めたレビューにより設計の妥当性を確認する。

（３）システム設計書及びテスト仕様書については、情報システム室の承認を得る。

（４）システム設計では、セキュリティに関する要求事項を確実に情報システムに組み込むため必要な機能の適用を考慮する。

10.2　情報システムのセキュリティ

10.2.1　入力データの妥当性確認

情報システムの開発を行う場合、管理対象情報システムの入力データの妥当性を確認するため、必要に応じ、次の事項を遵守する。

（１）必要に応じ、次の入力検査機能を実装する。

範囲外の値のチェック
無効文字のチェック
二重入力による入力ミス防止
入力漏れ・不完全なデータのチェック
データの上限値及び下限値の超過チェック
データの一貫性チェック

（２）入力されたデータの妥当性及び完全性を確認するために重要なフィールド又はデータファイルを特定し、次のとおり内容を定期的に見直す。

正しくないデータが入力された際の対処手順を実装する。
入力されたデータをマスターに照合する機能及びマスターとの整合性を確認する機能を実装する。
データ入力過程に携わっているすべての要員の責任を明確に定める。

10.2.2　内部処理の管理

情報システムの開発を行う場合、処理したデータの改変を検出するために、必要に応じ、次のとおり情報システムに妥当性検査の機能を実装する。

（１）プログラム仕様の設計において、処理の流れが妥当かどうか、正常系・異常系について考慮し、盛り込む。

（２）次の内部処理結果の整合性をとる。

各実行処理の間の制御
ファイルの更新の合計値
各プログラム間の制御

（３）不正な改変を検出・追跡するためのログを収集できる。

10.2.3　電子データの完全性

情報システムの開発を行う場合、情報システムに関連する重要な電子データの内容（例：仕様書、契約書、提案書、その他のこれに類似した電子データ交換）の真正性及び完全性を保護するために、必要に応じ、デジタル署名等の技術を導入する。

10.2.4　出力データの妥当性確認

情報システムの開発を行う場合、出力データの妥当性を確認するために、必要に応じ、次の機能を実装する。

（１）いくつかのシナリオに基づいた結果と、実際の出力結果を照合できるようにする。

（２）異常を検出した場合は、実行中の処理を中断し、実行前の状態（元の状態）に戻せるようにする。

10.3　暗号による管理策

10.3.1　暗号による管理策の使用に関する個別方針

情報システム室は、暗号技術の種類、暗号アルゴリズム、暗号鍵の長さ、暗号鍵紛失時の対応、暗号鍵ツールの操作性、標準PCでの正常稼動等を要件に含めて、暗号化ツールを選定する。

情報システムの開発を行う場合、その責任範囲の情報システムのリスクレベル及び要求されるセキュリティレベルに応じて、次の事項を実施する。

（１）暗号対応

盗聴の危険性がある環境で、秘密情報・個人情報を取り扱う場合は、SSL（Secure Socket Layer）等の情報漏えい防止処置を実施できるように当該情報システムを開発する。
ログオン処理等で取り扱うパスワードに対し、暗号化処理等の情報漏えい防止処置を実装する。いかなる場合といえども、パスワードを暗号化等の情報漏えい防止処置なしにネットワーク回線上に流さない。

（２）デジタル署名対応

電子文書の真正性及び完全性を保護する必要がある場合には、デジタル署名を実施する。
デジタル署名利用の詳細について情報システム室の定めがある場合は、それに従う。

（３）否認防止機能

高額の電子決済等、事象又は動作が起こったか起こらなかったかを厳格に管理する場合は、否認防止サービスを実装する。
否認防止サービス利用の詳細について情報システム室の定めがある場合は、それに従う。

10.3.2　暗号鍵の管理

暗号鍵を生成・発行・保管する情報システムを管理について、情報システム室は、次の事項を遵守する。

当該情報システム内に保管されたすべての暗号鍵の機密性・完全性・可用性を保護するための管理手順を定める。
暗号鍵を生成・発行・保管する装置を保護するために、物理的、論理的な安全対策を行う。
本来の利用者のみに間違いなく暗号鍵を配付する手順を定める。
暗号鍵を変更又は更新する手順を定める。
紛失や盗難等によりセキュリティが損なわれた暗号鍵を無効にする手順を定める。
暗号鍵の不正利用を回避する仕組み（例：暗号の秘密鍵をバックアップ管理する）を実装する。

10.4　システムファイルのセキュリティ

10.4.1　運用ソフトウェアの管理

情報システム室は、その責任範囲の情報システムのソフトウェア管理について、次の事項を遵守する。

（１）情報システムのソフトウェア管理

定められた方法により、本番環境のソフトウェアを管理する。

（２）ロードモジュールの移行

本番環境には、実行可能なロードモジュールだけを移行する。

（３）テストの確証

本番環境において、実行可能なロードモジュールはテストの合格及び妥当性が確認されるまで本番環境で実行しない。

（４）更新記録の維持

すべての更新履歴を記録し、原則として、当該情報システム稼動中は記録を保管する。

ただし、情報システム室は、情報システム個別の条件に応じて、個別に更新記録の保管期間を定めるができるものとする。

（５）旧バージョンの管理

新バージョンの導入による当該情報システム全体への影響を考慮し、必要に応じ、古いバージョンのソフトウェアを事故対策用に保持する。

（６）ソフトウェアの維持管理

本番環境で使用するソフトウェアは、当該ソフトウェアの開発委託先に維持管理させる。

ベンダから提供されるソフトウェアを使用している場合は、必要に応じ、保守契約等を締結する。

（７）更新の影響の考慮

新バージョンへの更新の決定に際しては、そのバージョンのセキュリティ機能の導入又はこのバージョンに影響を及ぼすセキュリティ問題の数及び危険度を考慮する。

（８）ソフトウェアパッチの適用

セキュリティ上の欠陥を除去するか、又は軽減するのに役立つ場合には、ソフトウェアパッチを適用する。

（９）導入時のアクセス管理

ソフトウェア供給者による物理的又は論理的アクセスは、支援目的で必要な時に、かつ情報システム室の承認を得た場合にだけ許可する。

ここでいうソフトウェア供給者とは、当社の社内情報システムのソフトウェアを供給する次の者をいう。

社内開発の場合は、社内のシステム開発関係者
外部委託による開発の場合は、委託先のシステム開発（業務委託）従事者
一般販売製品（例：パッケージソフトウェア）の場合はその販売元

（10）導入時の監視

供給者の作業に立ち会う。

10.4.2　システムテストデータの保護

情報システム室は、システム開発のテスト段階におけるテストデータの保護について、必要に応じ、次の事項を実施する。

（１）単体テスト及び結合

単体テスト及び結合の段階で、実データベース及び実データを使用しない。
テスト用の架空データを作成し、用いる。

（２）結合テスト及び運用テスト

実データをコピーし、テスト利用する際は、次の事項を遵守する。

実データのテスト利用の制限
- 実データに秘密情報・個人情報が含まれている場合は、極力テストに実データを利用しない。
- やむを得ず、秘密情報・個人情報が含まれた実データをテストシステムにコピーして利用する場合には、秘密情報・個人情報の要素をあらかじめ消去やマスクするなどの情報漏えい防止処置を実施する。
実データのテスト利用時の承認
- 実データをテスト利用する場合には、業務主管責任者（データオーナー）の承認を得る。
- テスト実施部門と業務主管部門の双方は、実データ利用時の承認の記録を最低1年間、保管する。
実データのテスト利用時の承認の記録
- 実データのテスト利用時の承認の記録には、次の事項を残す。
- 実データの利用者及び利用責任者（複数の場合はすべて）
- 実データの利用目的
- 実データを利用許可した承認者
- 実データの利用期間
- 実データに秘密情報・個人情報が含まれている場合は、それら要素の消去・マスクの項目と方法
実データの重要フィールドに対する消去・マスク
- 実データに対して、消去やマスクを行う場合は、テストの目的を損ねずに情報漏えい防止処置を行うために、業務主管責任者（データオーナー）との協業により、具体的な、消去やマスクの項目や方法を定める。
実データのテストシステムへの移送
- 実データファイルを移送するにあたっては、紛失やデータ改変が生じないよう、適切な対策を実施する。
- 事前にマスク処理を施していない秘密情報・個人情報が含まれた生の実データをネットワークで移送する場合には、暗号化等の情報漏えい防止処置を実施する。
- また、秘密情報・個人情報が含まれた生の実データをテープ等のメディアで移送や保管を行う場合は、施錠したキャビネットに保管する等の盗難や紛失対策を実施する。
実データ利用後のデータ消去
- 廃棄テスト終了後は、テスト担当者は、ただちに利用したデータを消去する。
- シュレッド処理が可能なものは、シュレッダによる細断処理を行う。
- CD-ROM等の記憶メディアは、シュレッダによる細断処理、あるいは折り曲げ等、読取り不可能な状態にして廃棄する。
- テスト実施部門は、実データテスト利用終了後のデータ消去及び廃棄の記録を最低1年間は保管する。
実データのコピー利用に対しての例外申請
- 秘密情報・個人情報が含まれる実データを消去やマスク処置をせず、コピーし、テスト利用する場合は、リスク、代替のセキュリティ対策を充分に検討し、当該業務を主管する組織の部署長及び情報セキュリティ管理責任者の事前承認を得る。

10.4.3　プログラムソース・ライブラリへのアクセス制御

情報システム室は、情報システムのプログラミングフェーズにおけるプログラムソース・ライブラリの保護のため、次の事項を遵守する。

プログラムソース・ライブラリの変更管理手順を定める。
プログラムソース・ライブラリへのアクセスは、許可された者のみに限定し、正当なアクセス権を持たない者が、プログラムソース・ライブラリにアクセスできないように、適切にアクセス権を設定し、保護する。
ソース・プログラムは、厳密に世代管理する。
プログラムソース・ライブラリは、本番環境に搭載しない。
プログラムソース・ライブラリの更新及びプログラマへのプログラムソースの発行は、担当者を定めて行う。
プログラムソースを記録したメディア（電子メディア・紙メディア）は、「情報セキュリティ規定　8.5.1　コンピュータ用の取外し可能なメディアの管理」に従い、適切に管理する。

10.5　開発及び支援過程におけるセキュリティ

10.5.1　変更管理手順

情報システム室は、その責任範囲の情報システムの変更及び修正が、当該情報システムの要求事項に応じて適切に行われるように、情報システムの修正及び変更の手順（変更申請の手順、許可／承認の手順、変更確認手順を含む）を定める。

以下に、情報システムの修正及び変更管理手順書に含める内容の例を示す。

（１）支援要員のアクセス制御

システム開発担当者以外の者の情報システムへのアクセスは実施する作業に必要な範囲及び権限に限定し、必要以上のアクセス権限を与えない。

支援要員とは、本来のシステム開発担当者又はシステム運用担当者以外の者で、システム障害対応等のために臨時で情報システムを操作する者（例：ベンダの保守要員や技術者等）をいう。

（２）変更に対する合意及び承認

情報システムに対する変更・修正を行う際は、要求元の責任者及びシステム開発責任者との間で正式な合意及び承認を得る。

（３）変更管理過程の考慮事項

情報システムの変更・修正とシステム開発の変更管理手順の整合の考慮

変更による管理策及び完全性への影響のレビュー
修正を必要とするすべてのコンピュータソフトウェア、情報、データベース及びハードウェアの識別
情報システム変更前に関係者に変更内容を通知する。
業務の中断を最小限に抑えるように変更を実行する。
情報システムに関する文書一式を各変更の完了時点で更新する。
文書についてバージョン管理を確実に行い、古い文書は記録保管するか、廃棄する。
すべてのソフトウェアの更新について、バージョン管理する。
すべての変更要求の履歴を維持管理する。
運用文書類及び利用手順を確実に更新する。

10.5.2　オペレーティングシステムの変更の技術的レビュー

（１）情報システム室は、情報システムの変更及び修正が適切に行われていることを確実にするために、情報システムの変更及び修正のレビューを実施する。

（２）情報システムの変更及び修正のレビューに、必要に応じ、次の事項を含める。

オペレーティングシステムの変更
- オペレーティングシステムの変更によって業務用ソフトウェアの管理及び完全性に関する手順が損なわれないように手順をレビューする。
年間サポート計画及び予算
- 年間サポート計画及び予算には、オペレーティングシステムの変更に伴うレビュー及びテストを含める。
変更の通知
- オペレーティングシステムの変更に先立ち、関係者に変更を通知する。
緊急対応計画
- 情報システムに大きな変更が必要な場合は、緊急対応計画を作成する。

10.5.3　パッケージソフトウェアの変更に対する制限

情報システム室は、要求元の責任者からの要請により、パッケージソフトウェアを改変する場合は、当該部署長と共に次の事項を検討し、対策を実施する。

（１）改変に伴うリスクの検討及び対応

改変が絶対必要であると判断された場合は、組み込まれている管理策及び完全性の処理が損なわれるリスクを検討し、必要に応じ、対策を実施する。

（２）ベンダの承諾

必要に応じ、ベンダの事前承諾を得る。

（３）ベンダの対応

ベンダで対処可能かを検討する。

（４）改変による影響の検討及び対応

改変の結果として将来のソフトウェア保守に対して当社が責任を負うようになるかを検討し、必要に応じ、対策を実施する。

（５）旧バージョンの管理

改変は明確に識別表示された複製に対して行い、オリジナルのソフトウェアはそのまま保管する。

（６）仕様に基づいた検証

仕様に基づいた検証を完全に行う。

（７）文書化

改変内容はすべて文書化する。

10.5.4　情報の漏洩からの保護

情報システム室は、隠れチャネル及びトロイの木馬等の悪意のあるソフトウェアを埋め込まれる危険性から情報システムを保護するため、次の事項を遵守する。

ソフトウェア・プログラムは信頼できるベンダのものだけを購入する。
ソースコードで購入可能な製品については、コードの確認ができるように、必要に応じ、ソースコードでソフトウェア・プログラムを購入する。
評価した製品を用いる。
製品のソースコードを保有している場合は、運用前にすべてのソースコードを検査する。
いったん導入したコードへのアクセス、及びそのコードへの変更を管理する。
秘密情報・個人情報を取り扱う情報システムでの作業には、確実に信頼できる要員を用いる。

10.5.5　外部委託によるソフトウェア開発

ソフトウェア開発の外部委託を行う場合、次の事項を遵守する。

「6.3　第三者との契約におけるセキュリティ要求事項」に従い、外部委託先との間で契約及び取決めを行う。
納品物の品質（質及び正確さ）を確保するための対策を考慮する。
外部委託先の監督を行う。
必要に応じ、トロイの木馬を検出するための導入前検証を実施する。

10.6　技術的脆弱性管理

10.6.1　社内ネットワーク

情報システム室は、社内ネットワークの技術的脆弱性の管理について次の事項を遵守する。

社内ネットワークの最新構成（ハードウェア及びソフトウェア）を把握し、当該ネットワークに関連する技術的脆弱性に関する情報を収集する。
技術的脆弱性に関する情報を分析し、技術的脆弱性の緊急度や当該ネットワークへの影響度等に応じ、当該ネットワークに対して適切なセキュリティ処置を行う。
セキュリティホールに対するセキュリティパッチを適用することにより当該ネットワークに問題が発生又は発生する可能性がある場合には、セキュリティパッチの適用が可能になる対策を実施する。
必要に応じ、関係者及び関係部署に対し、技術的脆弱性の情報展開及び対応指示を行う。

10.6.2　情報システム

情報システム室は、その責任範囲の情報システムについて次の事項を遵守する。

当該情報システムの最新構成（ハードウェア及びソフトウェア）を把握し、当該情報システムに関連する技術的脆弱性に関する情報を収集する。
技術的脆弱性に関する情報を分析し、技術的脆弱性の緊急度や当該情報システムへの影響度等に応じ、当該情報システムに対して適切なセキュリティ処置を行う。
「8.4.1　悪意のあるソフトウェアに対する管理策」に従い、セキュリティホールに対するセキュリティパッチを適用することにより当該情報システムに問題が発生又は発生する可能性がある場合には、次の対応を実施する。
- セキュリティパッチの適用が可能になる対策の実施
- セキュリティホールへの具体的な対策は、情報システム室が指示する。
- セキュリティパッチの適用が困難な場合については、情報システム室と調整の上、対応する。

10.6.3　全社標準ハードウェア・ソフトウェア

情報システム室は、全社標準ハードウェア（標準PCを含む）とソフトウェアについて次の事項を遵守する。

当該ハードウェア・ソフトウェアに関連する技術的脆弱性に関する情報を収集する。
技術的脆弱性に関する情報を分析し、技術的脆弱性の緊急度や当該ハードウェア・ソフトウェアへの影響度等に応じ、当該ハードウェア・ソフトウェアに対して適切なセキュリティ処置を行う。
セキュリティホールに対するセキュリティパッチを適用することにより当該ハードウェア・ソフトウェアに問題が発生又は発生する可能性がある場合には、セキュリティパッチの適用が可能になる対策を実施する。

まとめ

ここでは、「情報セキュリティマニュアル　管理者編」のうち、

「Ⅲ．情報システム室の職務」の

「10．情報システムの取得、開発及び保守に関する基本原則」について、以下の内容を説明しました。

情報システムのセキュリティ要求事項の分析及び明示
情報システムのセキュリティ
暗号による管理策
システムファイルのセキュリティ
開発及び支援過程におけるセキュリティ
技術的脆弱性管理

Ⅲ．情報システム室の職務

10．情報システムの取得、開発及び保守に関する基本原則

10.1 情報システムのセキュリティ要求事項の分析及び明示

10.2 情報システムのセキュリティ

10.2.1 入力データの妥当性確認

10.2.2 内部処理の管理

10.2.3 電子データの完全性

10.2.4 出力データの妥当性確認

10.3 暗号による管理策

10.3.1 暗号による管理策の使用に関する個別方針

10.3.2 暗号鍵の管理

10.4 システムファイルのセキュリティ

10.4.1 運用ソフトウェアの管理

10.4.2 システムテストデータの保護

10.4.3 プログラムソース・ライブラリへのアクセス制御

10.5 開発及び支援過程におけるセキュリティ

10.5.1 変更管理手順

10.5.2 オペレーティングシステムの変更の技術的レビュー

10.5.3 パッケージソフトウェアの変更に対する制限

10.5.4 情報の漏洩からの保護

10.5.5 外部委託によるソフトウェア開発

10.6 技術的脆弱性管理

10.6.1 社内ネットワーク

10.6.2 情報システム

10.6.3 全社標準ハードウェア・ソフトウェア

まとめ