はい。近年、電子申請や施設予約システムなど、自治体のシステムではWebアプリケーションが多く採用されています。一方で、Webアプリケーションの脆弱性を狙ったサイバー攻撃なども発生しています。そのため、システム調達時には機能要件だけでなくセキュリティ要件も仕様書に盛り込んでおく必要があります。さらに、納品後に脆弱性が発見された場合の対策や役割分担も、あらかじめ明確にしておくことが大切です。
しかし、このような「非機能要件」を具体的かつ体系的に仕様書に記述することは、容易ではありません。そこで、安全なシステム運用に必要な要求仕様事項をまとめた「特記仕様書」のサンプルが公開されたのです。
LASDECのWebサイトには、特記仕様書のサンプルと、その解説書が公開されています。解説書を見ながらサンプルを自治体に合わせてカスタマイズし、システムの入札仕様書に追加要件として添付し、使用することができます。
特記仕様書のサンプルには、選定ソフトウェアの保守性・運用性要件、脆弱性対応、セキュリティ機能、そして事業者に求めるテスト要件が記述されています。さらに、検収時の確認観点や、導入後の脆弱性対応についても記述されています。
また、別紙として各種帳票(ツール)も公開されており、特記仕様書の作成時に活用することができます。例えば、事業者に対してシステムに混入しないよう対処を求める「脆弱性リスト」、特記仕様書のサンプルカスタマイズ時に、その個所の確認や意思決定のメモに使う「チェックシート」、特記仕様書の要件を表に転記して纏めた「遵守状況一覧」などが提供されています。
モデルプランを利用しても、脆弱性を100%排除することはできません。しかし、可能な限り脆弱性を排除して安全にWebアプリケーションを運用するためにも、システム調達時に本情報を確認しておくと安心ですね。
(2013年1月23日)
配信を希望される方へ
自治体ICTに関する旬な記事を月2回メールマガジンでお届けします。登録は無料です。