はじめに
一次請けであれ二次請けであれ、または準委任であれ、省庁系システムの開発は、初めて経験するものには戸惑いを与えます。金融系システムや流通系システムなどを経験した技術者にとって、知っておかないとうまく事が運ばないことがあるので注意が必要となってきます。技術面は後ほど紹介することとして、著者が4回の省庁系システム開発で学んだことは次の点です。
- 誤字・脱字を侮るな
- コミュニケーションルートを確保せよ
- 受領資料の意味を熟考せよ
- 査読すべき資料を早急に収集せよ
- 省庁の影にコンサルタントの気配あり
- 自社に馴染んだ開発手法に持ち込め
連載最終回となる今回は技術編シリーズの第3回として、省庁系システム開発における「セキュリティ」について解説していきたいと思います。
これまでの連載
本編
- 初めての省庁系システム開発(第1回)~誤字・脱字を侮るな~
- 初めての省庁系システム開発(第2回)~コミュニケーションルートを確保せよ~
- 初めての省庁系システム開発(第3回)~受領資料の意味を熟考せよ~
- 初めての省庁系システム開発(第4回)~査読すべき資料を早急に収集せよ~
- 初めての省庁系システム開発(第5回)~省庁の影にコンサルタントの気配あり~
- 初めての省庁系システム開発(第6回)~自社に馴染んだ開発手法に持ち込め~
技術編
電子政府の基準に従うこと
「政府機関の情報セキュリティ対策のための統一基準」とは何か
「政府機関の情報セキュリティ対策のための統一基準(第4版)」(PDF)が2009年2月3日に公表されました。2005年12月に全体版の初版が公表されているためほぼ毎年改版されていることになり、政府機関のセキュリティに対する真摯な姿勢がうかがえます。
技術者にとって「セキュリティ」と言うと、とかく暗号だけに限定して考えがちです。確かに、暗号アルゴリズムなどはセキュリティの中心となる技術ですが、暗号の技術のみでセキュリティを維持できるわけではありません。システムを構築し運用していくためには、組織の体制や保護すべき情報のライフサイクルの管理等までその範囲は広がります。これらのセキュリティ全般に関する政府の基準が「政府機関の情報セキュリティ対策のための統一基準」(以下、統一基準)なのです。
堅牢なセキュリティシステムを構築・運用するために
ちょっと話が逸れますが、筆者の住むマンションには複数台の防犯カメラがあります。その映像は誰でも見てよいわけではなく、住民から盗難などの犯罪に関する通知が管理組合の理事に届けられた場合に限ります。また、理事も1人だけではなく、2人以上の鍵がないとビデオテープを格納している装置が開きません。ビデオテープの保存期間も30日と限定しています。
上記のようにマンションのセキュリティだけでも、決めなければならないことがたくさんあります。ビデオカメラの設置場所、ビデオテープを参照できる者の限定、ビデオテープを参照できる条件、ビデオテープの保存期間などなど。
統一基準も大枠は上記のような取り決めごとのための基準を提供しています。以下、目次から抜粋します。
- 組織と体制の整備
- 情報についての対策
- 情報処理についての対策
- 情報システムについての基本的な対策
「組織と体制の整備」が管理組合の理事や箱を開ける条件に、「情報についての対策」がビデオテープの保存期間やどの場所にビデオカメラを設置するかに対応付けることができます。他の2つについては対応付けできませんが、統一基準で確認いただければと思います。もちろん統一基準では、マンションのセキュリティより厳格な基準が定められています。より堅牢なセキュリティシステムを構築・運用できるための基準が記載されており、省庁系システムの開発においては重要な意味を示しています。
