A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
| 項目 | 内容 |
|---|---|
| 改訂日 | 2024.04.01 |
| 適用範囲 | 全社・全従業員 |
| 管理策番号 | A.8.27 |
| 分類 | 技術的管理策 |
セキュリティに配慮したシステムを構築するための原則は、確立し、文書化し、維持し、あらゆる情報システムの開発活動に適用しなければならない。
情報システムがセキュリティに配慮して設計、実装、運用されることを確実にするため。
実施の手引き
Section titled “実施の手引き”セキュリティに配慮したシステム構築の原則には、以下を含める必要がある。
- 多層防御
- 最小権限
- フェイルセキュア
- 攻撃面の最小化
セキュリティ設計原則
Section titled “セキュリティ設計原則”| 原則 | 説明 |
|---|---|
| 多層防御 | 複数の防御層を設ける |
| 最小権限 | 必要最小限の権限のみ付与 |
| フェイルセキュア | 障害時も安全な状態を維持 |
| 攻撃面の最小化 | 不要な機能・サービスの無効化 |
| 職務分離 | 重要な機能の分離 |
アーキテクチャの考慮事項
Section titled “アーキテクチャの考慮事項”| 要素 | 考慮事項 |
|---|---|
| ネットワーク | セグメンテーション、境界防御 |
| アプリケーション | 入力検証、セッション管理 |
| データ | 暗号化、アクセス制御 |
| インフラ | ハードニング、パッチ管理 |
実装ガイドライン
Section titled “実装ガイドライン”| 項目 | 内容 |
|---|---|
| 標準化 | セキュリティ標準の適用 |
| レビュー | 設計レビュー、コードレビュー |
| テスト | セキュリティテスト |
| 文書化 | セキュリティ設計の文書化 |
当社における実施状況
Section titled “当社における実施状況”当社では、セキュアなシステムアーキテクチャを採用し、多層防御の原則に基づいて設計している。クラウドサービスのセキュリティ機能を活用している。
-
- システム開発及び保守
-
- IT基盤運用管理