対策は流行に捉われやすいが、本来は順序立てて検討していくことが重要だ。要件を決める方法として、情報セキュリティのフレームワークを活用した手順を解説する。Webシステム向けの対策や、ロードマップの策定方法も見ていこう。 セキュリティ対策は本来、守りたいものや対策の目的によって多様な選択肢がある。だが、経営層や顧客への説明がしやすいことから、流行りのソリューションに陥りがちだ。インターネット イニシアティブの根岸征史氏(サービスオペレーション本部 セキュリティ情報統括室 シニアエンジニア)は「特定ポイントだけのソリューションに依存するのはよくない。その他の脅威にも対応できるように、バランスよく対策する必要がある」と指摘する。 流行に惑わされないためには、現状分析や目的の明確化など、順序立てて考える。手順としては、IPAが提示する作業項目が参考になる(図1)。実施フェーズは要件定義からテストまで
![PART5 セキュリティ要件の決め方](https://cdn-ak-scissors.b.st-hatena.com/image/square/55371d9aaf0ebd93a9f3570552c4503779b64462/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F15%2F032600052%2F032600005%2Fzu01.jpg%3F20220512)