セキュリティ要件

セキュリティ要件とは

セキュリティ要件は、システムやアプリケーションが情報を守るために満たすべき具体的なルールや基準です。 セキュリティポリシーが「何を守るか」「なぜ守るか」という方向性を示すのに対し、セキュリティ要件は「具体的にどんな対策が必要か」「どう確認するか」までを詳細に定めます。

例えば、セキュリティポリシーが「顧客データは守る」と言ったら、セキュリティ要件は「パスワードは最低12文字で、大文字・小文字・数字・記号を含むこと」「ログイン時は多要素認証を使用すること」「データベースアクセスは暗号化されたVPN経由であること」といった具体的な仕様を定めます。

ひとことで言うと： セキュリティの「取説」。「システムはここまで安全に作らなければいけない」という具体的なチェックリスト。

ポイントまとめ：

何をするものか： セキュリティ対策の具体的な仕様を定める
なぜ必要か： 規制対応と実装品質を確保するため
誰が使うか： ソフトウェア開発者、システム設計者、監査人

適用範囲

セキュリティ要件は、国際基準と業界規制に基づいて定められます。NIST（米国国家標準技術研究所）が発行したNIST SP 800-53は、米国政府機関や防衛関連企業に適用されます。ISO 27001は国際的な情報セキュリティマネジメント基準で、世界中の企業が採用しています。GDPR（欧州一般データ保護規則）に違反すると、企業売上の4%、最大2,000万ユーロの罰金を食らいます。日本の個人情報保護法（APPI）も改正され、セキュリティ要件の強化が進んでいます。

金融機関はPCI-DSS（ペイメントカード業界データセキュリティスタンダード）を満たさなければなりません。医療機関はHIPAA（米国健康保険ポータビリティ説明責任法）を遵守する義務があります。

主な要件

セキュリティ要件の主要な項目は、認証、認可、暗号化、監査ログの4つに整理できます。

認証とは、ユーザーが本人であることを確認することです。パスワード認証が基本ですが、より安全な多要素認証（ユーザー名+パスワード+スマートフォンの確認コード、など）が求められることが増えています。

認可とは、確認した本人に対して、適切な範囲のアクセスだけを許可することです。営業部門は顧客データにアクセスできるが、経営情報にはアクセスできない、といった具合です。この考え方を「最小権限の原則」と言います。

暗号化 とは、データを読み取り不可能な形に変換して保護することです。インターネット通信時の暗号化（HTTPS）、データベースに保存されたデータの暗号化、ユーザーのパスワードを暗号化して保存することなど、複数の場面で必要です。

監査ログ とは、「誰が、いつ、何をしたか」を記録する仕組みです。後で不正アクセスや改ざんがないか確認するために必要です。

違反した場合

セキュリティ要件を無視してシステムを運用すると、複数の問題が生じます。まず、データ漏洩のリスクが高まり、顧客や従業員に危害が及びます。次に、法的責任が発生し、多額の罰金を支払わされます。さらに、メディアで報道されると企業の信用が失墜し、売上低下につながります。そして、システム停止や金銭的損失が発生します。

実例として、2024年、複数の大手企業がセキュリティ要件を満たさないシステムが原因で個人情報を流出させ、総額数百億円の損失被害を受けました。

よくある質問

Q: セキュリティ要件はどうやって決めるのですか？

A: 業界基準（ISO 27001、NIST、PCI-DSSなど）とセキュリティポリシーから導き出します。さらに、企業のリスク分析結果に基づいて、より厳しい要件を追加することもあります。

Q: すべてのシステムに同じセキュリティ要件を適用しますか？

A: いいえ。扱う情報の重要度によって要件を変えます。顧客データを扱うシステムは高い要件が必要ですが、社内の会議室予約システムなら要件は緩くていいです。この考え方を「リスクベースアプローチ」と言います。

Q: セキュリティ要件を満たしているか、どうやって確認しますか？

A: ペネトレーションテスト（実際に攻撃を試みてセキュリティを検査）、脆弱性診断、監査ログの定期的レビュー、第三者による監査などを行います。

Q: セキュリティ要件で守られない脅威はありますか？

A: はい。例えば、内部犯行（従業員がこっそりデータを盗む）の一部や、新しく発見された未知の脆弱性には対応できない場合があります。このため、セキュリティ要件だけでなく、インシデント対応計画も重要です。

セキュリティ要件