高木浩光氏による「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」のポイント解説

TAKAGI, Hiromitsu @TakagiHiromitsu

「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」http://t.co/giM0AzYb 「Webアプリケーションを導入するにあたって、システムの脆弱性をなくし、安全に運用するために必要な要求仕様事項を取りまとめた特記仕様書の例です」

TAKAGI, Hiromitsu @TakagiHiromitsu

LASDEC「Webアプリケーションセキュリティ要求仕様等検討委員会」に参画し、長年の懸案であったセキュアな発注仕様の一つの在り方を示しました。 「地方公共団体における情報システムセキュリティ要求仕様モデルプラン（Webアプリケーション）」http://t.co/giM0AzYb

TAKAGI, Hiromitsu @TakagiHiromitsu

これまで、セキュリティ要求仕様に、脆弱性対応を盛り込むことが必要とされてきましたが、脆弱性排除の完全な技術要件を盛り込むことは困難でした。厳しい要件は、安全性を担保しますが、実装手段の自由度を狭めることになり、既存のパッケージの採用が困難となるため、現実的でありません。他方、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…他方、抽象的な技術要件とした場合、受け入れ検査で発見できなかった脆弱性が、後に発見されると、仕様外の対応として改修には追加費用が必要とされることになります。特に地方公共団体においては、追加費用を確保できずに改修できない事態となることがままありました。そこで、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…そこで、このモデルプランでは、脆弱性は抽象的に規定してその排除を緩やかに求めた上で、通常の瑕疵担保期間とは別に「セキュリティ保証期間」を設定し、その期間中に発見される脆弱性（ただし仕様に規定されたものに限る）については追加費用なしで補修することを要求仕様としています。これによ…

TAKAGI, Hiromitsu @TakagiHiromitsu

…これにより、脆弱性の知識が乏しい地方公共団体でも、ベンダーに対し不利な立場に置かれることなく、セキュアなWebアプリを発注できるようになると期待されます。ただ、このようなセキュリティ保証期間中の脆弱性対応の要件を不利なものと捉え、受注を拒むベンダーがあるかもしれません。実際、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…実際、何年にも渡り、納品後のWebアプリについて脆弱性対応の体制を維持する必要があるわけで、不慣れなベンダーでは、対応体制が準備できていないために、突然の脆弱性発覚に多額のコストを要する事態が発生するかもしれません。そのような、脆弱性が発覚する確率とその対応コストの見積を…

TAKAGI, Hiromitsu @TakagiHiromitsu

…見積をベンダー側に求めているのがこのモデルプランの考え方です。このとき、既に脆弱性を作り込まない開発体制を整えている優秀なベンダーにとっては、事後の脆弱性発覚の確率を低く見積もることができ、価格競争力を持つことになるでしょう。技術力のないベンダーの淘汰が期待されます。また、…

TAKAGI, Hiromitsu @TakagiHiromitsu

…また、このモデルプランは、システムを構成するOS、ミドルウェア、ソフトウェア部品、パッケージWebアプリについて、選定する製品が、セキュリティ保証期間中、脆弱性パッチが開発・提供されると約束されているものであることの確認を受注者に求めている点に特長があります。そのような約束の…

TAKAGI, Hiromitsu @TakagiHiromitsu

…そのような約束のない製品は淘汰されることになります。なお、このモデルプランは、地方公共団体の事情に合わせて工夫したものであり、中小企業など他でも活用できるかもしれませんが、様々な理由で万人に採用できるものではないかもしれません。他のモデルも検討することが今後の課題でしょう。

TAKAGI, Hiromitsu @TakagiHiromitsu

本モデルプランは地方自治情報センター「Webアプリケーションセキュリティ要求仕様等検討委員会」により作成されました。委員リストは http://t.co/7Fz92A5g 別紙8です。各分野の専門家が集結してこそ完成に至ったものと思います。私からも委員の皆様方に御礼申し上げます。