ページの本文へ

Hitachi

自治体ICT 応援サイト CyberGovernment Online

Q.地方自治情報センター(LASDEC)が「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」を公開しました。この背景を教えてください。

前田
はい。近年、電子申請や施設予約システムなど、自治体のシステムではWebアプリケーションが多く採用されています。一方で、Webアプリケーションの脆弱性を狙ったサイバー攻撃なども発生しています。そのため、システム調達時には機能要件だけでなくセキュリティ要件も仕様書に盛り込んでおく必要があります。さらに、納品後に脆弱性が発見された場合の対策や役割分担も、あらかじめ明確にしておくことが大切です。

しかし、このような「非機能要件」を具体的かつ体系的に仕様書に記述することは、容易ではありません。そこで、安全なシステム運用に必要な要求仕様事項をまとめた「特記仕様書」のサンプルが公開されたのです。

Q.具体的に、どのように使うのですか。

前田
LASDECのWebサイトには、特記仕様書のサンプルと、その解説書が公開されています。解説書を見ながらサンプルを自治体に合わせてカスタマイズし、システムの入札仕様書に追加要件として添付し、使用することができます。

特記仕様書のサンプルには、選定ソフトウェアの保守性・運用性要件、脆弱性対応、セキュリティ機能、そして事業者に求めるテスト要件が記述されています。さらに、検収時の確認観点や、導入後の脆弱性対応についても記述されています。

また、別紙として各種帳票(ツール)も公開されており、特記仕様書の作成時に活用することができます。例えば、事業者に対してシステムに混入しないよう対処を求める「脆弱性リスト」、特記仕様書のサンプルカスタマイズ時に、その個所の確認や意思決定のメモに使う「チェックシート」、特記仕様書の要件を表に転記して纏めた「遵守状況一覧」などが提供されています。

モデルプランを利用しても、脆弱性を100%排除することはできません。しかし、可能な限り脆弱性を排除して安全にWebアプリケーションを運用するためにも、システム調達時に本情報を確認しておくと安心ですね。

よくわかりました。ありがとうございます、前田さん!

(2013年1月23日)

  • * 記事の内容は配信時点での情報をもとに作成しているため、その後の動向により、記載内容に変更が乗じている可能性があります。

関連記事

[リンク]セキュリティ まとめページへ

テーマ別まとめ

注目キーワードに関連した記事をまとめました。

何をお探しですか?

製品・ソリューションや、電子行政用語集などを検索することができます。

配信を希望される方へ

自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。

ご登録はこちらから