「ISMS規格をわかりやすく解読する」シリーズの20回目は、「A.14システムの取得、保守及び開発」の前半部分について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2014によります。

A.14.1情報システムのセキュリティ要求事項

ISMSでは、サービスを利用する場合のセキュリティ対策はもちろん、自社でサービスを開発する際に必要なセキュリティ対策も書かれています。それが、このA.14です。

まず、自社でサービスを開発する際には、その開発要件の中に、情報セキュリティに配慮した要件を含みなさいといったことが書かれています。開発がある程度進んでから、情報セキュリティ対策を実施することはなかなか難しいです。開発前に、予め情報セキュリティに関して注意すべきことを開発要件として盛り込んでおくと良いでしょう。具体的には、ユーザーの操作ログを取得するようにする、データを安全な場所に保存しておく、などが考えられます。

次に、実際にインターネットで情報がやり取りされる場合の管理策が書かれています。具体的には、SSL/TLS通信を用いて、データ通信の安全性を確保すること、データを暗号化して保存すること、などが考えられます。