2026.01.30
重要情報を扱うシステムの要求策定ガイド概説
目次
IPA(独立行政法人 情報処理推進機構)では、経済産業省からの要請を受け、重要情報を扱うシステムにおけるサービスの安定供給にあたり、そのシステムのオーナーである管理者が、必要な対策を策定することを可能とするべく「重要情報を扱うシステムの要求策定ガイド」(以下「本ガイド」と表記します)を2023年7月に公開しました。
今回は本ガイドの概要について解説します。
●本ガイド策定の背景
ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力等「利便性」を備えたクラウドサービス等への要求も高まっています。
そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるよう本ガイドを定めました。
●本ガイドの利用シーンとステークホルダー
本ガイドにおいて重要情報とは、国民生活や経済活動の基盤となるサービスで使われる情報のうち、その情報に不正なアクセスがなされた場合、その情報の改ざん・破損があった場合、またはその情報の滅失・紛失または利用が不可能であった場合に、サービス提供に支障が生じ、国家および国民の安全や秩序などを損なう恐れや、経済活動に与える影響が特に大きいものおよびそれに準ずるものと定義されています。
そうした情報を扱うのは、主に政府関連機関や地方公共団体、重要インフラに該当する企業等であると考えますが、本ガイドは、そこまでの重要情報を扱っていなくとも、情報システムの調達等においてセキュリティ要件を策定する上で大変参考となる内容となっています。
まず、本ガイドの利用シーンとして、次の3つが想定されています。
利用シーン1:管理者自らが調達仕様書を策定する場合
利用シーン2:委託先が調達仕様書を策定する場合
利用シーン3:管理者自らが構築、運用を行う場合
「重要情報を扱うシステムの要求策定ガイドVer.1.0」より
(https://www.ipa.go.jp/digital/kaihatsu/t6hhco0000006s3t-att/system-youkyu-guide.pdf)
続いて、本ガイドにおける管理者、SI事業者等のステークホルダーの役割を次のように定義しています。
<本ガイドにおけるステークホルダーとその役割>
■エンドユーザー
重要情報を扱うシステムを利用して業務を遂行する
■管理者
重要情報を扱うシステムで提供するサービスのあるべき姿を定め、システムの調達および運用の責任をもつ
■SI事業者(ベンダー)
管理者が示す要求項目に基づいてシステムを設計、構築、運用するサービスを提供する
■サプライヤー(ベンダー)
クラウドサービスおよびシステムの構成要素(ハードウェア、ソフトウェア、データセンター・通信など)を提供する
●要求項目の整理における考え方
本ガイドでは、変化し続ける環境の中で、様々なリスクを想定し、重要情報を扱うシステムのサービス安定供給を継続するために、「利便性」をビジネスと技術の観点で、「自律性」をガバナンスの観点で要求項目を整理しています。
「重要情報を扱うシステムの要求策定ガイドVer.1.0」より
(https://www.ipa.go.jp/digital/kaihatsu/t6hhco0000006s3t-att/system-youkyu-guide.pdf)
●要求項目の策定ステップ
管理者は、以下のステップを通して要求項目を策定します。
(1)システムの特性評価
システムの特性を次の9つの項目で評価し、優先すべき「享受したい内容」を見極めます。
9つの項目は「自律性」確保と「利便性」確保の2つに大別され、自律性の観点では「データの漏洩・改ざんなどの防止」を優先すべきか、「データの利用不可・システム停止などの防止」を優先すべきか、または両方なのかを見極めます。
また、利便性の観点では変化し続ける「ビジネス環境への対応」と「技術環境への対応」のどちらを優先すべきか、または両方なのかを見極めます。
<システムの特性を評価する項目>
①データの内容・種類(自律性)
②データ数(自律性)
③漏洩・改ざん後、取返しがつく/つかない(自律性)
④データの利用不可・システムの停止などによる影響(自律性)
⑤即時的な代替手段の有無(自律性)
⑥新機能のリリース頻度(利便性)
⑦業務のピーク特性(利便性)
⑧先進標準技術への追随(利便性)
⑨ポータビリティの確保(利便性)
(2)問題・リスク/利便性要素の選定
続いて、(1)で整理した「享受したい内容」をもとに、自律性の観点では「問題・リスク」を、利便性の観点では「利便性の要素」を、次に示すように樹形図を使って明確にしていきます。
このステップでは、どの問題・リスクに対策を講じるか・講じないか(問題・リスクを許容するか)、または、どの利便性の要素を享受するか、しないかを見極めることがポイントとなります。
「重要情報を扱うシステムの要求策定ガイドVer.1.0」より
(https://www.ipa.go.jp/digital/kaihatsu/t6hhco0000006s3t-att/system-youkyu-guide.pdf)
(3)必要な対策の選定
最後に、(2)で明確化された「問題・リスク」「利便性の要素」に紐づく「対策」を選定します。
本ガイドでは、「対策」ごとの目的と詳細内容(要求項目)を表で一覧として示しており、目的を理解しながら要求項目を選定できるようになっています。
例えば、「自律性確保のための要求項目一覧(データ)」として、次のような要求項目が示されています。
(一部抜粋)
「重要情報を扱うシステムの要求策定ガイドVer.1.0」より
(https://www.ipa.go.jp/digital/kaihatsu/t6hhco0000006s3t-att/system-youkyu-guide.pdf)
おすすめ記事
2024.08.23
2024.09.16
2024.08.20
2025.10.17
2024.09.02
2025.02.06
