PR

 セキュリティは現在のシステム構築において,最重要課題の一つと言っても過言ではないだろう。特に個人情報などの漏えいがあった場合は,その関連部門や情報システム部門が批判されるばかりでなく,全社的に企業イメージに深刻なダメージを受けてしまう時代となった。またウイルス被害もますます甚大になってきている。それらのセキュリティに関する技術要求の具体的な例とそのまとめ方について説明していこう(図6)。

図6●セキュリティに関する要求の分類
図6●セキュリティに関する要求の分類

(1)セキュリティポリシー
 大企業や中堅,中企業クラスの規模であれば,ほとんどの企業が全社的なセキュリティポリシーを作成しているはずだ。企業によっては全社の汎用的なポリシーとは別に情報システムに係るセキュリティポリシーを保有しているところもあるだろう。例えば,セキュリティパッチの更新基準などのルールを厳格に定めているなどだ。基本的に新システムは最低でも全社的なセキュリティポリシーの下で管理されることになるので,機密保持契約を結んだ上でセキュリティポリシーを開示してそれに従うことを要求すればよいだろう。小規模な企業で,セキュリティポリシーを特に定めていない場合は,定めていないことを技術要求で記述し,適切な提案をベンダーに求める方策を取るのが現実的であろう。

(2)アクセス権
 アクセス権に関する要求事項の観点としては以下のようなものがある。
・人ごとに設定するアクセス権
・フォルダやファイルといった対象に設定するアクセス権
・閲覧,作成,更新,変更,削除といった行為の制限

(3)パスワード管理
 パスワードに関する要求事項としては以下の例が挙げられる。
・一定期間ごとに更新を行うシステム的な仕組みが必要か
・シングルサインオンを利用するか
・パスワードの代わりに,あるいは並行してICカードやバイオメトリックスなどの認証手段を利用するか

(4)データ漏えい対策(機密情報,個人情報など)
 冒頭にも述べたが,データ漏えいは企業の信頼,名声,評価に壊滅的なダメージを与える非常に大きなリスクである。漏えい対策としてはシステムリスクと人的リスクの二つの側面から要求を記述する必要がある。
[システムリスク]
 セキュリティホール対策,ファイル交換ソフトなど不正なファイルの侵入防止,データの暗号化などの検討を行い,必要な場合は要求として記述する。

[人的リスク]
 データ漏えいの原因として最も多いのが社員や出入りする関係者が意図的に持ち出すことである。また,ノートPCや記録媒体を紛失してしまったり,盗難されたりといった要因も多い。それらのリスクを軽減させるために操作ログを記録するソフトウエアの導入,サーバーやPCのUSBを利用不可にするといった対策の必要性を検討し,必要ならば要求として記述する。あるいはシンクライアントの導入といった選択肢もあるだろう。またサーバールームやデータセンターの入退出を監視・記録する方法もある。データセンターなどは出入りチェックの厳格さを売りにしているところもあるので,そのようなデータセンターのサービスを調べて要求を取りまとめる方法もお勧めする。

(5)ウイルス対策
 現在のシステムに関してはウイルス対策は必須である。サーバーとクライアント双方に十分なウイルス対策を講ずる必要がある。主な対策はアンチウイルス・ソフトを導入であり,既存のシステムで使用している製品があれば,要求の第1候補となる。ウイルス問題はウイルスとアンチウイルス・ソフトのいたちごっこが続いており,単にシステム構築時にアンチウイルス・ソフトを導入すればよいのではなく,継続して新しいバージョンに更新していく必要がある。更新情報の提供やサポートが重要になるため,サービスに対する要求も盛り込みたい。


永井 昭弘(ながい あきひろ)
1963年東京都出身。イントリーグ代表取締役社長兼CEO,NPO法人全国異業種グループネットワークフォーラム(INF)副理事長。日本IBMの金融担当SEを経て,ベンチャー系ITコンサルのイントリーグに参画,96年社長に就任。多数のIT案件のコーディネーションおよびコンサルティング,RFP作成支援などを手掛ける。著書に「RFP&提案書完全マニュアル」(日経BP社)。