総務省が行っていた「ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)等に係る意見募集」の結果が公開されています。(「ASP・SaaSにおける情報セキュリティ対策ガイドライン」も公開されています。)
ASP・SaaSの情報セキュリティ対策に関する研究会報告書(案)等に係る意見募集の結果 総務省 2008年1月31日
意見と、ASP・SaaSの情報セキュリティ対策に関する研究会の考えを一部抜粋して紹介してみようと思います。
まず以下はラックさんの意見と、その回答の一部です。
【意見】
「定期的にぜい弱性診断を行い」とあるが、アプリケーションのリリース時及び改版時は新たなぜい弱性が作られるケースが多いため、パターンを問わず、アプリケーション開発業者以外の第三者による脆弱性診断を実施すべきであることを明示することを要望する(株式会社ラック)
【研究会における考え方】
アプリケーション導入前の脆弱性診断については、前記ご意見を踏まえ、ベストプラクティスに追記することとしています。また、評価項目b.及びc.において、外部委託によるぜい弱性診断も含む旨記載しております。ぜい弱性診断を行うタイミング及び実施する機関等については、各ASP・SaaS 事業者において判断されるべきものと考えます。(株式会社ラック)
【意見】
多くのASP・SaaS では認証情報として、ユーザIDとパスワードが利用されていると思われる。利用者は同一のID・パスワードを他のサイトの認証情報として設定していることは少なくなく、実際に過去の不正アクセスや情報漏えい事件において、他のサイトで悪用されたケースも存在する。したがって、パスワードに関しては、パスワード文字列ではなく、ハッシュ値を保存しなくてはならない旨、明示することを要望します。(株式会社ラック)
【研究会における考え方】
ご指摘の事項については、対策項目「Ⅲ.3.1.3」におけるID・パスワードの運用管理方法に関するものと考え、「Ⅲ.3.1.3」のベストプラクティスに、「ID・パスワード等の認証情報は、文字列ではなくハッシュ値 を保存することが望ましい。」と追記することとします。
【意見】
「運用管理端末におけるログイン・ログアウト、特定プログラムの実行、データベース接続などの重要操作のロギング」を追加することを要望する。(株式会社ラック)
【研究会における考え方】
ご指摘を踏まえ、「Ⅲ.5.2.1」のベストプラクティスに、「運用管理端末において、従業員等が行うログイン・ログアウト、特定プログラムの実行、データベース接続などの重要操作等について、操作ログを取得し、保存することが望ましい。」と追記することとします。
確かに、そう、セキュリティを高めるためにはどれもこれもやっておいた方が良いことばかりです。ただ、このガイドラインは公的な機関が出すガイドラインですよ。業界の基準になりうるものです。あまり具体的に多くを記載しすぎると、新しくASP・SaaSを始めることが難しくなってしまい、普及を妨げてしまう心配もあるのではないでしょうか。(ラックさんは仕事が増えるかもしれませんけどね。)
ちなみに、あんまり細かくガイドライン(評価基準)を作るのは良くないよ、という意見ももちろんありました。
【意見】
対策項目・ベストプラクティスの提示に留め、評価項目は削除すべき。ガイドラインの発行者が総務省であることにより、実質的な拘束力が生ずる可能性があるにもかかわらず、評価項目が具体的かつかなり高いレベルとなっているため、中小・ベンチャー企業がどこまで本ガイドラインに準拠できるか疑問がのこる。また、サービス提供価格の高騰に繋がることが危惧される。さらに、評価項目・対策参照値のような基準を定めるならば、タイムリーかつ継続的な見直しが必要不可欠であり、こうした役割は民間の中立的な協議会的組織に委ね、政府は促進・支援する立場に身をおくべき。(ソフトバンクテレコム株式会社)
【研究会における考え方】
[前段部分]本ガイドラインは、ASP・SaaS 事業者が提供するサービス内容に即した適切な情報セキュリティ対策を実施するための指針として策定しており、その十分な活用を促すためには、評価項目と対策参照値の設定により、対策実施レベルを定量的あるいは具体的に評価するための指標を示すことが望ましいと考えます。また、本ガイドラインで示している対策実施レベルについては、中小ASP・SaaS 事業者を含む研究会構成員による議論に基づいており、実態から乖離したものとはなっていないと考えられ、ご指摘のご懸念はあたらないものと考えます。なお、本ガイドラインは本研究会において取りまとめるものです。
[後段部分]報告書第4章4.2.1【2】項に示しているとおり、ASP・SaaS 業界においてガイドラインの継続的な見直し・改善が実施される体制の構築を期待するものであり、ご意見の趣旨は踏まえているものと認識しております。
まあ、一蹴されていますけどね。
個人的に最もよく分からなかったのは、経済産業省の「SaaS向けSLAガイドライン」との関係についての質問に対する回答です。
【意見】
経済産業省「SaaS 向けSLA ガイドライン(案)」との関係はどのようになっているのか。(社団法人情報サービス産業協会、社団法人山形県情報産業協会)
【研究会における考え方】
本ガイドラインは、ASP・SaaS 事業者が、提供するサービス内容に即した適切な情報セキュリティ対策を実施するための指針として、可能な限り分かりやすくかつ具体的な対策項目を提示することを目指して策定したものであり、本ガイドラインをそのまま利用することで、ASP・SaaS 事業者が比較的簡単に適切な情報セキュリティ対策を実施できるように構成しています。
これって回答になってませんよね。国語のテストなら0点ですよ。
なにがともあれ、もう「ASP・SaaSにおける情報セキュリティ対策ガイドライン」は世に出てしまいました。このガイドラインが、ASP、SaaSの普及、発展に適切に役立ってくれることを願いますかね。
<参考>
総務省 確定 ASP・SaaSの情報セキュリティ対策に関する研究会報告書 まるちゃんの情報セキュリティ気まぐれ日記 2008円2月2日
ASP・SaaSにおける情報セキュリティ対策ガイドライン このブログ
「SaaS向けSLAガイドライン(案)に対する意見募集」の結果 このブログ
SaaS向けSLAガイドライン このブログ
0 件のコメント:
コメントを投稿