catch-img

第33回「つながる世界のセーフティ&セキュリティ設計入門」~IPA第2弾~

独立行政法人情報処理推進機構(略称IPA)がつながる世界のソフトウェア品質モデルとして国際規格「SQuaRE」を共通言語とし、ガイドブックを発行したことを前回書きました。今回は、2015年10月に発効した「つながる世界のセーフティ&セキュリティ設計入門」というガイドブックについてお話します。



セーフ&セキュリティ対策


持論では、セキュリティは単なるソフトウェア品質の特性のひとつであり、品質を評価するための要素にすぎないと考えています。しかし、IPAにおいても大きな部署としてセキュリティセンターという専門分野がありこれまではここが一貫してセキュリティ関係の研究と情報発信をしていました。それが今回ソフトウェア高信頼性センターからガイドブックが発行されているという点が注目点です。

IoT時代というフレーズによりあらゆる垣根が無くなり、つながる世界において「どうしなければいけないか」という議論が行われるようになってきました。ソフトウェアにおいても同様で、自分たちが開発したソフトウェアは万全のセキュリティ対策を行っていても、他の機器と接続した際に情報が流出することや、コントロールを失うことの無いように対処する必要があります。特にビジネスにおいては、様々な事業リスクが想定されます。

このリスクを軽減させるのがセーフティ&セキュリティ対策です。ガイドブックでは、セーフティに関する要因を「ハザード」、セキュリティに関する要因を「脅威」と定義しています。セーフティの対象となる被害としては自動車事故による怪我や機器の発火による火災等があります。セキュリティの被害は、情報漏えい、電子決済の金銭搾取、システムの不正利用等があります。企業においては、守るべき対象を洗い出し、自社のシステムがそれに対処できているかを確認する必要があります。
​​​​


​​​​​​​


「ソフトウェア設計品質の見える化」について


​​​​​​​ガイドブックの内容で注目すべきは、先行していると考えられる企業に対して行ったアンケート結果です。セーフティ&セキュリティの重要性は認知していても、現場や経営者が重要事項(要件・仕様)を判断するための基本方針がなく、かつ重要な事件・事故につながる可能性のある設計の決定に経営的な判断がなされていないと報告されています。

要は、経営者がセーフティ&セキュリティが重要と言いながら、現場任せになっているという事実です。これは、私が言い続けてきた「品質は経営者の責任」と同様です。重要事項を現場任せにして、事故が起きたら現場の責任にするような経営者はこれを読んでいる読者にはいないと思いますが、まだまだ多数がその状況ということです。

それでは、どのように対処すればよいのかとなりますが、まずは「ソフトウェア設計品質の見える化」となります。その設計によって目標(ゴール)が達成されることが、事実(証拠)に基づき、論理的(ロジカル)に説明されていることが必要です。これにより開発依頼先や具体的なシステム開発業者への説明・共有が可能となります。

詳細は下記のガイドブックをご参照ください。ソフトウェアの知識が無くても良くわかるように解説されています。




IPAのHPからどなたでもダウンロードできます。
発行日:2015年10月7日
参考URL:https://www.ipa.go.jp/archive/publish/secbooks20151007.html

藤井 洋一
藤井 洋一
■略歴  1985年 金融機関退職後、現在の会社を創業  2005年 一般社団法人IT検証産業協会の設立に関わり、ソフトウェア品質向上の活動を推進。2016年から会長を務め、2023年6月より監事として活動中  2013年 一般社団法人コンピュータソフトウェア協会(現:ソフトウェア協会)においてソフトウェア製品の品質認証制度(PSQ認証制度)を委員長として制度設計、運用開始  2016年 一般社団法人IT団体連盟の発足に参加、理事及び政策委員として活動。2023年諮問委員会 副委員長として活動中  2018年 「情報銀行」認定制度の制度設計サポート  2019年 工業標準法に基づく試験事業者登録制度(JNLA)等に係る試験事業者技術委員会電磁的記録分野技術分科会委員  ■その他の活動  独立行政法人情報処理推進機構にて「品質説明力強化のガイドライン」作成委員として執筆  ソフトウェア製品の国際規格「ISO/IEC 25051」のJIS化委員