中小企業において目指すSecurity By Design
(西日本支部/中小企業のためのSecurity by Design WG)

2020.11.20
目的
本書はJNSA西日本支部の「中小企業のためのSecurity by Design WG」の活動をまとめたものです。
リスクマネジメントは、事業継続を目的とする経営者にとって、必須の事案です。
これまでの西日本支部の活動の成果物を基に、経営者からITシステム投資の承認を得た後、中小企業の情報システム部門が考えるべきITシステムの導入、運用、廃止までのライフサイクルを考慮した情報セキュリティのあるべき姿を検討します。
Security By Design
ITシステムの開発・導入においては、機能要件の定義が主になり、セキュリティ機能は非機能要 件として、 重要視されず、後回しにされることが多々あります。しかし、一般的にITシステムの 開発・導入においては、図1(報告書本文参照)に示すように後工程での修正になるほどコストが増加する傾向にあり、ITシステム導入後、十分なセキュリティ対策を行うことは、困難となります。従って、ITシステムの企画・設計段階から、セキュリティを考慮した設計(Security by Design)の導入が重要となります。
設計・導入段階で考慮すべき、コントロール、運用確認等セキュリティ要素の関係、体制及び運用を以下に示します。
・ 「コントロール 技術的対策実装」と「運用確認・監視」 は対の関係となる。
・ 「運用確認・監視」に必要な機能、体制は「コントロール 技術的対策実装」 段階にて整備する。
・ OODAループに対応可能な技術的対策、運用と体制も整備する。
V字モデルにおける「Security By Design」の位置付けは報告書本文図2を参照ください。
「中小企業のためのSecurity by Design WG」メンバー
井上 陽一  (JNSA顧問、日本エレクトロセンサリデバイス株式会社)
金子 啓子  (JNSA顧問、大阪経済大学 経営学部准教授)
大室 光正  (株式会社インターネットイニシアティブ)
河野  愛  (株式会社インターネットイニシアティブ)
小柴 宏記  (ジーブレイン株式会社)
元持 哲郎  (アイネット・システムズ株式会社)
吉崎 大輔  (日本電気株式会社
米澤 美奈  (株式会社ソリトンシステムズ)
嶋倉 文裕  (サブスクライバ)
WGにご協力を頂いた皆様
青木 茂
今井 実
大財 健治
塩田 廣美
西川 和予
報告書
中小企業において目指すSecurity By Design PDF [2.3MB]
本報告書に関する引用・内容についてのご質問等はフォームからご連絡下さい。
※引用のご連絡に対する承諾通知はご返信しておりませんのでご了承下さい。
引用・お問合せフォームへ

※Acrobat Reader 6.0以前のバージョンでは正常な表示ができない場合が
あります。Acrobat Reader 7.0以降のバージョンでお読みください。
http://www.adobe.co.jp/products/acrobat/readstep2.html