Summit Developers

Developers Summit 2013 Action !

百瀬昌幸 (財)地方自治情報センター(LASDEC)

自治体セキュリティ支援室

15-C-8 #devsumiC

～地方公共団体における情報システムセキュリティ要求 仕様モデルプラン（Webアプリケーション）について ～

セキュリティ要求仕様モデルプランで 日本は変わるか？

公開用

Summit Developers

Developers Summit 2013 Action !

ラスデック？

Summit Developers

Developers Summit 2013 Action !

(財)地方自治情報センター （LASDEC“ラスデック”）

自治体セキュリティ支援室（LASC）

• 各種セキュリティ情報収集、情報展開

• 自治体に無償で各種セキュリティ支援事業を提供

脆弱性診断事業から派生した成果物

⇒「ウェブ健康診断仕様」「モデルプラン」

住基ネット

教育研修／人材育成

コンビニ交付の 導入支援等 研究開発

LGWAN

3

Summit Developers

Developers Summit 2013 Action !

モデルプランできました。

ダウンロード： https://www.lasdec.or.jp/cms/12,28369,84.html

© 2012 supersoftware

4

または、 で検索。

Summit Developers

Developers Summit 2013 Action !

モデルプランの概要

Summit Developers

Developers Summit 2013 Action !

モデルプランの中身 Webアプリケーション（とプラットフォーム）の脆弱性対策関連の要件に特化した仕様書（特記仕様書）

• 「セキュリティ保証期間」の設定

– 後ほどご説明

• 提案時の提出物

– セキュリティ実装方針、重要事項説明書

• ソフトウェア選定に係る要件

– サポートライフサイクルポリシーは問題ないか

• 対応すべき脆弱性のリスト

– 16項目

• セキュリティ機能要件

– ログイン処理、認可処理、アカウント管理など

• テスト要件

– 開発時中間検査（Option）、最終(出荷時)検査

• 検収方法

– 納入ベンダーの検査結果チェック／自ら検査／第三者に依頼して検査 ＆ 結果良好

を検収要件に

• 成果物（納品物）

• 保守対応関係要件

– 脆弱性修正パッチ開発関係、いつまでにパッチを適用するかなど。

6

Summit Developers

Developers Summit 2013 Action !

セキュリティ仕様選定基準イメージ(1/2)

7

• 未知の脆弱性 • 新しく発見された脆弱性でまだ対処方法が確立していない脆弱性 •“脆弱性である”と定義できるかどうかわからないグレーゾーンの脆弱性

Summit Developers

Developers Summit 2013 Action !

8

セキュリティ仕様選定基準イメージ(2/2)

(注)モデルプランはA、Bを全てカバーしているわけではない

Summit Developers

Developers Summit 2013 Action !

セキュリティ要件の提示方法の比較 提示方法 メリット デメリット

対策すべき脅威を明示

・(発注者には)分かりやすい ・実装の自由度がある

・対策が曖昧になりやすく、 効果が薄い可能性大

対策すべき脆弱性名を明示

・脆弱性毎の対応の可否は 明確になる ・実装の自由度がある

・対策方法の良否判断は時に困難 ・脆弱性対応レベルは指定でき ない

実装方法を指定 ・確実な対策が見込みやすい ・実装の自由度がない （既存パッケージソフト等の 資産が使えず、開発コスト増 大の懸念あり） ・詳細をすべて書ききるのが、 かなり困難なものもある。

検査方法を明示 ・対策の自由度がある ・対策の水準が明確になる ・検収がしやすい

確実な検査方法のスタンダードが公開されていない

※徳丸浩氏の資料を一部引用 9

Summit Developers

Developers Summit 2013 Action !

なぜモデルプランを作成したか

Summit Developers

Developers Summit 2013 Action !

ウェブ健康診断

11

※本事業は平成20年～平成22年迄で終了

Summit Developers

Developers Summit 2013 Action !

診断内容 下記項目を診断エンジニアによる手動の抜き取り検査（診断）を実施。

12

Summit Developers

Developers Summit 2013 Action !

ちなみに… 「ウェブ健康診断」の診断仕様は、 現在ＩＰＡさんにその維持・発展を 担っていただいています。 （平成24年12月から） こちらの資料も参考にしてください！

ダウンロード： https://www.ipa.go.jp/security/vuln/websecurity.html

または、

で検索。

Summit Developers

Developers Summit 2013 Action !

一部資料省略

５ 14

Summit Developers

Developers Summit 2013 Action !

地方公共団体における脆弱性対策に関する課題

• 突然発覚する脆弱性への対応について、幹部の理解が得られない。

• 情報システムを管理する担当部門が脆弱性対策の必要性を理解していない。

• 人事異動により、経験を積んだIT担当部門の職員の知見が活かせなくなる。

• 脆弱性が見つかった場合の対策の実施や公表に係る方針が定まらない。

出典：「地方公共団体のための脆弱性対応ガイド」などを公開 ～「情報システム等の脆弱性情報の取扱いに関する研究会」の2011年度活動成果～ http://www.ipa.go.jp/security/fy23/reports/vuln_handling/index.html

15

Summit Developers

Developers Summit 2013 Action !

モデルプラン検討経緯

現状認識

• 地方公共団体のウェブアプリケーションの現状

• 脆弱性のあるサイト数、脆弱性検出後の改善率の状況

• 地方公共団体での脆弱性対策の課題

対策検討

• 根本的な対策が必要

•システム導入前の時点で根本的に脆弱性が生みだされないような仕組み

•脆弱性が発見された場合、容易に改修することができる手段

•それらを、あまり多くの知識・ノウハウなくとも取り込める方法

方針決定

• ウェブアプリケーションの調達におけるセキュリティ要求仕様のガイドライン、仕様例を作成

• 「これ(モデルプラン)付けておけば、大体 」を期待。

注意：モデルプランは今後も実情等に合わせて改版要。

16

Summit Developers

Developers Summit 2013 Action !

今後、地方公共団体のセキュリティ レベル向上のために必要な施策

事前対策

事後対策

セキュリティレベル向上！

・セキュリティ要求仕様 モデルプラン

・ウェブ健康診断 ・セキュリティ健康診断 などの支援事業

仕様書例を作成し、地方公共団体及び一般へ情報公開！

17

Summit Developers

Developers Summit 2013 Action !

Webアプリケーションセキュリティ 要求仕様等検討委員会

18

Summit Developers

Developers Summit 2013 Action !

委員の皆様（50音順）

氏名 ご所属

飯島 輝泰 埼玉県毛呂山町 子ども課子育て支援係（元情報推進室 係長）※第1回～3回

大高 利夫 藤沢市 総務部IT推進課 総務部参事（兼）IT推進課長

木村 修二 NPO関西情報化維新協議会 理事

佐藤 慶浩 日本ヒューレット・パッカード株式会社 個人情報保護対策室 室長

鈴木 正朝 新潟大学 大学院実務法務研究科・法学部 教授（情報法）

高木 浩光 独立行政法人 産業技術総合研究所 セキュアシステム研究部門 主任研究員

高倉 弘喜 名古屋大学 情報基盤センター 情報基盤ネットワーク研究部門 教授

鶴巻 暁 上條・鶴巻法律事務所 弁護士

徳丸 浩 HASHコンサルティング株式会社 代表取締役

中山 紀雄 総務省 自治行政局 地域情報政策室 電子自治体推進係 係長

丸山 満彦 デロイト トーマツ リスクサービス株式会社 取締役 執行役員

活動期間：2011年12月9日～2012年10月22日

19

Summit Developers

Developers Summit 2013 Action !

モデルプランのポイント

Summit Developers

Developers Summit 2013 Action !

モデルプランのポイント

「セキュリティ保証期間」という期間を設け、 「脆弱性リスト」で示した脆弱性に限定して対処（脆弱性がないようにする）を求めている。 （万一運用時に脆弱性が発覚したら、追加費用 なしで修補を求める）

追加費用なし≠無償

21

セキュリティ保証期間＝5年間（稼働予定期間）

Summit Developers

Developers Summit 2013 Action !

“追加費用なし”の効用 • リスクの見積もりを提案者（ベンダー）に委ねている。

「自ら開発したソフト、選定したソフトで事後（セキュリティ保証期間中）に脆弱性が発覚するリスクを見込んで保守費用に対応費用を積んでおいてください」

• 地方公共団体の調達 ＝ ほとんど入札

…となれば、

– 「(開発者は)できるだけセキュアなソフト開発をする」

– 「(SIerは)できるだけセキュアなソフトを選定する」

というインセンティブが働く（保守費用を安くできるから）

• 地方公共団体だけでなく、他にも広がれば…

22

Summit Developers

Developers Summit 2013 Action !

モデルプランの採用が進むと…

脆弱性を作り込まない開発体制（構築体制）整えている優秀なベンダーの製品の採用を促進し、そうでない製品を排除する方向に。

23

Summit Developers

Developers Summit 2013 Action !

モデルプラン セミナーアンケート結果 • 開催 ：東京・大阪で開催（1月23日、30日） • 講師 ：徳丸浩殿 • 内容 ：モデルプランの作成経緯や使い方ノウハウ、注意点など。 • 参加者：地方公共団体職員（情報系） 合計 ９５名 • アンケート：「モデルプランを利用しようと思いますか？」 ①利用を検討したい ／ ②内容を確認してから検討したい

＜自由記述回答による、感想等 ～ 抜粋 ～＞

次期システム調達での仕様の使用を検討したい。 非常に有意義であると思う。

某市

モデルプラン通りでは敷居が高い。重要度1～4などに分け、Webアプリケーションの重要度に合わせたものができないだろうか。（技術的な内容をちゃんと咀嚼できるだろうかといった懸念）

某区

現実的かつ実践的なもので即戦力になるツールだと感じます。 ユーザサイドがやかましく言うことでベンダサイドの意識が変わるとよいのですが… 最終的にはユーザ・ベンダお互いの意識を高く持つことがゴールかと思います。

某県

ASP,SaaSについて同様のモデルが欲しい。 （ほか、イントラネット向けなどの意見も）

某市

24

回答団体：90名（68団体） （回答団体内訳） 都道府県 16名 市・区 49名 町・村 3名

Summit Developers

Developers Summit 2013 Action !

まとめ モデルプランは、、 • 基本的にユーザ視点で地方公共団体向けにまとめました。 • 脆弱性を完全に排除はしたいけど“完全に”は難しいので、期

間と内容(脆弱性リスト等)を限定して、万一運用時に規定の脆弱性があるとわかったら追加費用なしで修補してもらうことにしました。

• セキュリティ対策（脆弱性対策）に熱心なベンダーさんにとっては優位な仕様！

• “地方公共団体向け”だけど…もっと活用の幅を広げたい （希望）

より良い仕様、実情に合わせた対応にするための内容改版の検討は継続予定です。

皆さんからもご意見などお寄せいただければ幸いです。

25

Summit Developers

Developers Summit 2013 Action !

セキュリティは文化

• 積極的に、ポジティブに、要求仕様の内容を良くご覧ください。

• 「これって当たり前だよね～（今のやつには実装してないけど）」がほとんどだと思います！

• 当たり前の文化（＝開発規約）にすれば、随分世の中の脆弱性がなくなるはず！

日本のセキュリティの夜明けぜよ！

M Y R E C O M M E N D N E X T A C T I O N !

26

Summit Developers

Developers Summit 2013 Action !

It’s your turn.