ざっくり学ぶ、情報セキュリティマネジメント #9-1

システム戦略

動画が見られない場合は

この動画は、無料公開期間を経た後、メンバーシップ限定動画になります。動画見放題のメンバーシップ(月額990円)を是非ご利用ください。

安全性の高いシステムにするためには、開発をする段階からしっかりとして手順を踏んで開発することが重要です。そのため、取引相手を含めて手順の認識や役割分担などを共有しておく必要があります。

共通フレーム

そこで、ISO/IEC 12207という国際基準が制定され、これを日本でも扱えるようJIS X 0160とJIS X 0170を元に作られたガイドラインが「共通フレーム」です(SLCP-JCFとも呼ばれます)。

ここでは、システム開発の作業の流れや用語などについて定義されています。

共通フレームに従うと、システムの開発は次のようなプロセスで進行します。

企画プロセス、要件定義プロセス

システムの開発に当たって、それが経営戦略や顧客ニーズにどのようにマッチしているのかなどを検討し、システム化する範囲・しない範囲を切り分けます。

そして、システム化する範囲について「要件」を整理していきます。ここまでのプロセスを「超上流工程」などと呼びます。

開発プロセス

開発すべき内容が決まったら、実際の開発作業に入っていきます。ここでは、要件定義で決められた要件を、実際にどのようなハードウェアやネットワークなどで構築していくかを「システム要件定義」や「システム方式設計」で定め、そのシステムで動作するソフトウェアを「ソフトウェア要件定義」「ソフトウェア方式設計」で定めていきます。

その後、「ソフトウェア詳細設計」を行った後、実際のコード作成に入っていきます。

こうしてシステムが完成したら、今度はテストや検証を行って行きながらシステムを仕上げ、最終的に業務をシステムに移行することになります。

機能要件と非機能要件

開発プロセスのシステム要件定義で重要なのは、システムでなにができてなにができないかを定める「機能要件」に加えて、できることがどのくらいの品質や速度で行えるのかを定める「非機能要件」を定めることが重要です。特に、非機能要件は開発コストとのバランスを考えて決めていかなければなりません。

SI

システムを開発する際、自社で開発者を雇い入れて開発することはできますが、多くの場合は外部の専門の開発会社に依頼をする、「アウトソーシング」をすることが一般的です。

情報システムの企画、設計、開発などを行う企業を「SI(System Integration)」などと呼びます。SIに開発を依頼する場合は、次のような書類を準備して、システムの構築を依頼します。

  • RFI Request For Informationの略で「情報提供依頼書」のこと。SIにシステムを開発するに当たって、過去の実績や技術情報などの基本的な提供を依頼します。
  • RFP Request For Proposalの略で、「提案依頼書」のこと。システムの概要や調達の条件を記述し、SIからの具体的な提案を依頼します。
  • RFQ Request For Quotationの略で見積もり依頼書のこと。提案書の内容を実際に開発する場合に必要となる費用を依頼します。

RASIS

システム開発においては、システムの信頼性が何よりも重要視されます。そこで、ポイントとなるのが次の5つです。

  • Reliability 信頼性。故障の発生しにくさを表すもので、MTBF(平均故障間隔)などで表されます。
  • Availability 可用性。利用したいときにシステムが利用できる状態であるかを「稼働率」などで表します。
  • Serviceability 保守性。故障が発生したときの修理のしやすさを表し、MTTR(平均修理時間)で表れます。
  • Integrity 保全性。データを過失や故意によって喪失する可能性です。
  • Security 安全性。外部・内部からの攻撃に対してシステムを守れる度合いのこと。

耐障害設計

システムに障害はつきものです。そのため、障害をいかに発生させないかという「フォールトアボイダンス」に加えて、故障しても問題が大きくならないようにする「フォールトトレランス」の考え方も重要になります。

フォールトトレランスには、次のような手段がとられます。

フェールセーフ

故障が起こったときに、代替機を準備したりバックアップデータからデータを復元できるなど、代替機でシステムの稼働を継続させることです。

フェールソフト

負荷が増加した場合などに、システム全体を低下させるのではなく、付加機能を停止させて、業務の核となる部分は停止させないようにするなどして、全体の障害を抑える方法です。

フールプルーフ

数値入力時に誤った情報を入力したりしても、システムが故障したりデータに不整合が起こらないようにするなど、システム側で人為的なミスを防ぐ方法です。

フォールトマスキング

ある機器が故障したりしても、全体に影響が出ないようにするしくみです。

この講座をまとめて受講しよう
Udemy(買い切り)で受講する YouTube(月額 990円)で受講する

参考書籍
令和06年 情報セキュリティマネジメント 合格教本

岡嶋 裕史 (著) / 技術評論社 / 1,980円〜

Amazonで見る

※ アフィリエイトリンクです