本ガイドラインの目的
経済産業省は、情報システムの障害発生が社会的影響を及ぼし、日々深刻化している状況を受け、信頼性を高めるための指針として、2006年に「情報システムの信頼性向上に関するガイドライン」を策定し、2009年に第2版(http://www.meti.go.jp/press/20090324004/20090324004-4.pdf)に改訂しました。
本ガイドラインは、「情報システムが本来保持すべき信頼性・安全性を確実に具備させることを目的とし、情報システムの企画・開発から保守・運用にわたり関係者が遵守すべき又は遵守することが望ましい事項を定め」たものです。
本ガイドラインでは,信頼性と安全性を次のように定義しています。
信頼性:機能やサービスが期待通りに動作し、正しい結果を出す性質
安全性:人命、経済活動及び国民生活を脅かすことを未然に防ぐ性質
また,情報システム障害として,次の原因を挙げています。
要件の誤り
ソフトウェアの誤り
調達ソフトウェアの不具合
ハードウェア故障・性能低下等
製品間インターフェイスの誤り
性能・容量等の不足
移行時の誤り
運用方法・手順等の誤り
情報システム障害発生時の対応の誤り・遅れ
対象とする情報システム
国民生活や社会経済活動の基盤である重要インフラ,企業等の業務システム,情報家電や医療機器などに実装される組込みシステム等,ほとんどすべての情報システムを対象にしています。一般の情報システムだけでなく,組込みシステムまでも対象にしているのが特徴です。
そして,求められる信頼性・安全性の水準に応じ、情報システムを以下のように段階的に分類しています。
- (A)重要インフラ等システム
- 他に代替することが著しく困難なサービスを提供する事業が形成する国民生活・社会経済活動の基盤であり、その機能が低下又は利用不可能な状態に陥った場合に、我が国の国民生活・社会経済活動に多大の影響を及ぼすおそれが生じるもの、人命に影響を及ぼすもの及びそれに準ずるもの。
- (B)企業基幹システム
- 企業活動の基盤であり、その機能が低下又は利用不可能な状態に陥った場合に、当該企業活動に多大の影響を及ぼすおそれが生じるとともに、相当程度の外部利用者にも影響を及ぼすもの。
- (C)その他のシステム
- 重要インフラ等システム及び企業基幹システム未満の水準のもの。
本ガイドラインの構成
本ガイドラインでは、情報システムの信頼性・安全性水準の向上のための具体的な対策を示しています。(→目次)
Ⅱ. 信頼性・安全性向上に向けての全般的配慮事項
Ⅲ. 企画・要件定義・開発及び保守・運用全体における事項
Ⅳ.技術に関する事項
Ⅴ.人・組織に関する事項
Ⅵ.商慣行・契約・法的要素に関する事項
Ⅲ~Ⅵの個別事項に関しては,これらの実施事項について、A~Cの情報システムに求められる信頼性・安全性の水準に応じ、必須事項◎と推奨事項○を定め,それらの実施主体が情報システムの利用者であるか提供者であるか,両者の合意であるかを示しています(拡大図)。
主要ポイント
- 関係者の責務
- 情報システムの安全性や信頼性を維持、向上するには、利用者と供給者が、それぞれの役割と責任を果たすこと、共同作業であることの認識が必要です。
- プロジェクトマネジメントの重視
- プロジェクトマネジメント方法を確立し、品質、コスト、進捗及びリスク等の事柄に関し、)定量データを活用したマネジメントを行うこととしています。
- 標準化技術の採用
- 求められる信頼性・安全性の水準を達成するため、必要と考えられる開発手法及びツール等を活用することとしています。
- 品質保証部門の設置
- 事業部門から独立し、品質基準・開発標準・管理標準類等の整備及び品質監査・システム監査・プロジェクト監査等の機能を持つ品質保証部門を設置するべきとしています。
- 契約における重要事項の明確化
- 契約では、仕様変更の取扱い、障害発生時の対応手順、障害発生時の責任関係などについて、明確にしておくことの重要性を示しています。
本ガイドラインの関連基準・ガイドライン
このように,本ガイドラインの対象は情報システム全般にわたっているので,他の多くの基準やガイドラインとの関連が多くなっています。本ガイドラインは全体的な体系を示すものであり,個別分野に関しては,それぞれの基準やガイドラインを相互参照するのが適切です。本ガイドラインでは,次の対応表を掲げています。
