セキュリティ要件定義 せきゅりてぃようけんていぎ
セキュリティ要件情報セキュリティセキュリティ設計脆弱性対策アクセス制御セキュアバイデザイン
セキュリティ要件定義について教えて
簡単に言うとこんな感じ!
セキュリティ要件定義は「このシステムをどれだけ安全に作るか・守るかをあらかじめ決めること」だよ。家を建てるときに「鍵はどこに付けるか・防犯カメラは必要か・塀の高さは」を最初に決めるイメージ。セキュリティは後付けで対策するより、最初から設計に組み込んだ方がコストが圧倒的に安くなるんだ。「とりあえず動けばいい」で作ったシステムが後で情報漏洩を起こして大問題になるケースは本当に多いよ!
セキュリティ要件定義とは
セキュリティ要件定義とは、システム開発・調達の初期段階で、「このシステムをどのようなセキュリティ機能・対策を実装して作るか」を明確化する作業のことです。通常の「業務要件(何ができるか)」と同様に、セキュリティ要件も要件定義書の重要な構成要素として文書化されます。
セキュリティ要件を早期に定義することが重要な理由は「設計変更コストの法則」と呼ばれる考え方で説明できます。開発後期にセキュリティ問題が発見されると修正コストは要件定義時の100倍以上になると言われています。特に本番稼働後の情報漏洩事故は、修正コストだけでなく損害賠償・信用毀損など甚大な被害につながります。
発注者がセキュリティ要件定義で意識すべき点は、「このシステムで何のデータをどのように扱うか」から逆算することです。個人情報を扱うなら個人情報保護法への対応、決済情報を扱うならPCI-DSS準拠、医療情報なら医療ガイドラインへの準拠など、取り扱うデータの性質によって必要なセキュリティ要件が決まります。
セキュリティ要件の主要カテゴリ
| カテゴリ | 要件の例 |
|---|---|
| 認証・認可 | パスワード強度・多要素認証(MFA)・シングルサインオン(SSO) |
| アクセス制御 | 最小権限の原則・役割ベースアクセス制御(RBAC)・IP制限 |
| データ保護 | 保存時の暗号化・通信の暗号化(TLS/HTTPS)・個人情報の仮名化 |
| ログ・監査証跡 | アクセスログ・操作ログ・改ざん防止・保管期間 |
| 脆弱性対策 | OWASP Top 10対策・SQLインジェクション対策・定期的な脆弱性診断 |
| バックアップ・復旧 | バックアップ頻度・保管期間・復旧テスト・RTO/RPO |
| ネットワークセキュリティ | ファイアウォール・WAF・DDoS対策・ネットワーク分離 |
| 物理セキュリティ | データセンターの物理アクセス制限・媒体の廃棄方法 |
| インシデント対応 | 漏洩検知・通知手順・フォレンジック対応 |
セキュリティ要件のレベル分け
| レベル | 対象データ例 | 求められる対策の目安 |
|---|---|---|
| 低 | 公開情報・社内一般業務データ | 基本的な認証・ログ管理 |
| 中 | 社内機密情報・顧客情報(一般) | MFA・暗号化・アクセスログ・脆弱性診断年1回 |
| 高 | 個人情報・財務データ・機密情報 | 高度な暗号化・WAF・ペネトレーションテスト |
| 最高 | 医療情報・決済情報・国家機密 | 厳格な監査・法的コンプライアンス対応・24h監視 |
歴史と背景
- 1996年:ISO/IEC 15408(Common Criteria:情報技術セキュリティ評価基準)が制定。セキュリティ要件の評価フレームワークが標準化される
- 2000年代:ウェブアプリケーション脆弱性の多発(SQLインジェクション・XSSなど)を受け、OWASPが「Top 10脆弱性リスト」を発表(2003年〜)
- 2013年:ISO/IEC 27001:2013改訂。情報セキュリティマネジメントの要件が更新され、セキュリティ要件定義への参照基準として普及
- 2016年:NIST「サイバーセキュリティフレームワーク(CSF)」が日本語訳され普及。特定→防御→検知→対応→復旧の5機能でセキュリティ要件を整理する手法が一般化
- 2018年:GDPR施行で「プライバシー・バイ・デザイン」が法的要件に。設計段階からのセキュリティ・プライバシー対応が義務化される
- 2022年:METI「情報セキュリティサービス基準」「情報システム・ソフトウェア取引トラブル事例集」でセキュリティ要件の発注者責任が明記
セキュリティ要件定義の位置づけ
関連する規格・RFC
| 規格・標準 | 内容 |
|---|---|
| ISO/IEC 27001 | 情報セキュリティマネジメントシステムの国際標準 |
| NIST Cybersecurity Framework(CSF) | 特定・防御・検知・対応・復旧の5機能でセキュリティを整理 |
| OWASP Top 10 | Webアプリケーションの重大セキュリティリスクの最新リスト |
| PCI-DSS | クレジットカード情報を扱うシステムのセキュリティ基準 |
| 経産省「情報セキュリティサービス基準」 | ITサービスのセキュリティ評価基準(国内) |
| FISC安全対策基準 | 金融機関のシステムセキュリティ基準 |
関連用語
- コンプライアンス・法令遵守 — セキュリティ要件の法的根拠となるコンプライアンス要件
- 個人情報保護法・GDPR — セキュリティ要件に影響するデータ保護の法的義務
- 要件定義書 — セキュリティ要件を含む全体の要件をまとめる文書
- クラウドサービス調達 — クラウド導入時のセキュリティ評価・要件確認
- 障害対応・インシデント管理 — セキュリティインシデント発生時の対応プロセス
- システム評価・監査 — セキュリティ要件の達成状況を評価する監査活動