知らないから漏えいする! 経費節約時代のセキュリティ対策

経産省のセキュリティ・チェックシート

もう少ししっかりとした要件定義書を望む場合は、経済産業省が公開しているセキュリティ・チェックシートを利用することを勧めます。

経産省では、ユーザー企業と開発会社の契約時の取り決めを「情報システム・モデル取引・契約書」という形で推進しています。この中の「セキュリティチェックシート」を契約時の重要事項説明書として利用することを勧めています。

「セキュリティチェックシート」は、Webサイトの「モデル取引・契約書＜追補版＞－本編」で参照できます（Word版の場合、p.101に掲載されています）。

このチェックシートに書かれた各チェック項目について、レベル1～4の中で、対象となるWebサイトのセキュリティ・レベルを決めていきます。比較的容易に、セキュリティの要件を決めていくことができます。これを重要事項説明書に転記して契約書に添付することで、契約を締結するようにします。

自社オリジナルのセキュリティ要件定義書を書いてみよう

Webサイトのリリースまで時間的に余裕があり、自社でセキュリティ要件を作成できるスキルを持っている場合は、ぜひセキュリティ要件定義書を作成してみてください。

Web上には、先人が作成した立派なセキュリティ要件定義書がたくさんあります。これらを参考に、自社サイトに合わせてカスタマイズしてみましょう。「セキュリティ要件」などのキーワードで検索すると、たくさんのひな型やサンプルに出会えます。これらを手直しすることで、オリジナルのセキュリティ要件定義書を完成させることができます。

（2）受け入れ検査時のポイント

受け入れ検査時には、あらかじめ用意したセキュリティ・チェックリストを用いてしっかり検査することが望ましいですが、現実的には難しいと思います。だからといって、まったくノー・チェックで受け入れることはやめましょう。

代替案として、開発会社がチェックしたチェックリストを納品物と一緒に提出してもらい「チェックが入っていない個所は、なぜチェックしていないのか」や「チェックが入っている個所も、どのような対応を行ったのか」を質問してみてください（IPAの『安全なウェブサイトの作り方』を使っている場合は『安全なウェブサイトの作り方』のチェックリストを使います）。

このほかにセキュリティ要件定義書を用意している場合は、セキュリティ要件定義書に対応するチェックリストも事前に用意します。これを納品物とすることを契約書に記載するのがよいでしょう。

納得できる説明があれば問題ありませんが、要領を得ない返答である場合は、「どのようにして、セキュリティ対策に漏れが無いことを確認したのか」を聞いてみてください。開発会社側でセキュリティをチェックしていないようなら、チェックの実施をお願いした方がよいでしょう。