« 海外からは不思議に見られている?ISMS認定取得 | Main | 総務省 情報セキュリティ対策 2005 »

2005.07.12

内閣官房 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究

 こんにちは、丸山満彦です。内閣官房から、「電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究」の報告書が公表されています。

 
■内閣官房
調査研究
・・電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 PDF975KB

 私は情報セキュリティについては汎用機やAS/400から入ってその後、UNIX、Windows、Firewall・・・と勉強していったわけですが、汎用機では、ACF2、RACF、TopSecretなどで資源管理やアクセス制御を行うことができるのですが、そこから入るとUNIXやWindowsのアクセス制御は弱いと思いました。
 セキュアOSでは、細かくこのような制御ができるのでしょうが、その分管理が複雑になるのでしょうね。

 この報告書は勉強になりますね。



このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。

|

« 海外からは不思議に見られている?ISMS認定取得 | Main | 総務省 情報セキュリティ対策 2005 »

Comments

丸山さん

トラックバックさせて頂きました。報告書も興味深く読みました。RACFやCA-Top Secret、CA-ACF2に実装された機能を目指している・・・ そんな気がしました。そんな訳で、格別新規な感じは受けませんでした。UNIXやWindowsのアクセスコントロール機能の弱さは衆目の一致するところ、実現するといいのですが。メインフレームのノウハウを活用すれば良いと思うのですが、しがらみがあって難しいのでしょうね。

Posted by: 増田@ISACA | 2005.07.12 21:43

増田さま、コメントありがとうございます。
実は、問題はシステム開発の場面にでもあるように思います。
 安く、早く・・・というシステム開発文化の中で育った人に、要件をきちんと定めて、システム開発の標準化を行い、要所要所にチェックポイント置きチェックをした上で、セキュアなシステムを作り、テスト計画に基づいたテストを行い、承認を得、テスト環境から本番環境への移行手順を定め、手順に従った移行をするようなことをできるようにするのは難しいのではないかと思うのです。

Posted by: 丸山満彦 | 2005.07.12 23:03

丸山さん

私自身は、エンジニア出身といってもシステムやデータセンターの運用管理、データ管理やセキュリティが専門であったので、アプリケーション開発の現場は経験が浅いのですが、そのこと踏まえた上で、敢えて意見を申し述べます。10年程前でしょうか、丁度Client & Server型システムとかオープン系システムとかに脚光が浴び始めた時期です。開発手法にも新しい考え方が起きてきました。Rapid Appliacation Development(RAD)法という考え方です。通常、アプリケーション開発の手順として下記手順を踏みます(これも、かなり大雑把ですが)。

用件定義 → 概念設計 → 詳細設計 → フローチャート → プログラミング

RADは、用件定義からプログラミングまでの間の中間を飛ばし、いきなりプロトタイプを作成、ユーザに確認してもらいながら修正を繰り返し、アプリケーションの開発効率を上げ、期間とコストの短縮を図る方法です(これも粗い定義ですが)。
概念設計や詳細設計段階では、用件(Needs)の細かい分析や運用段階での考慮事項、場合によってはハードウェア構成等まで検討されました。当然、安全性・セキュリティ対策を施すチャンスがあったわけですが、RADだとそういった考慮がなされる暇がない気がしてました。RADに求められるのは、Rapid(急速に)にLow Cost(低コスト)でということです。
安全、セキュリティに対応をしていくということは、労力も時間もコストもかかる事です。私見ですが、RADという手法とは馴染まないですね。

ここ数年は、開発の現場を垣間見ることもなくなっているので、現状はどうなのか分かりません。しかし、システム管理基準にもあるように、システムによっては開発段階からセキュリティ面での用件を検討し、対策を施していくことは大事ですし、そのための時間、労力やコストを負担する覚悟が必要だと思います。

Posted by: 増田@ISACA | 2005.07.13 12:59

増田様、コメントありがとうございます。

結局、必要なことをせずに開発時間と、コスト削減を行っていただけなのに、あたかもオープンシステムにすれば、コスト削減が実現するというような話にすり替えてしまったのかもしれませんね。

ある会社では、オープン系であっても、従来の開発手法を踏襲しシステム開発を行っっているのですが、それなりの時間とコストはかかっているようです。確かにハードウェアの大部分は標準化され競争による購入ができるため安くなっているのかもしれませんが、本質的にはシステム開発コストは同じようなものになるのかもしれません。

例えば、システム開発過程でのセキュリティ対策の基準のようなものをきちんとつくっていく必要があるのかもしれませんね。
CCだと、ちょっとヘビーだしね・・・

Posted by: 丸山満彦 | 2005.07.14 07:49

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack


Listed below are links to weblogs that reference 内閣官房 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究:

» 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 [情報セキュリティコンサルタントのお気楽Blog]
「まるちゃんの情報セキュリティ気まぐれ日記」の記事からです。内閣官房からとある委託研究報告が発表されました。電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究早速目を通してみました。オレンジブックなど、今では懐かしい単語がでていまし... [Read More]

Tracked on 2005.07.12 21:31

« 海外からは不思議に見られている?ISMS認定取得 | Main | 総務省 情報セキュリティ対策 2005 »