21-1. ECサイトの構築とセキュリティ機能の実装と運用

 

章の目的

第21章では、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で情報システムを導入する流れと、セキュリティ対策の実装と運用ポイントを説明します。ECサイトを例にとり、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を理解することを目的とします。

主な達成目標

⚫︎ 実施例から工程を理解することで、中小企業が主体的に関与するポイントを理解すること ⚫︎ 情報システムを導入する工程で、作成すべきドキュメントを理解すること ⚫︎ 情報システムを導入する工程の中で、セキュリティ機能を実装、運用するポイントを理解すること

 

主なキーワード BCP（事業継続計画）、CSIRT（Computer Security Incident Response Team）、セキュリティ監査、セキュリティ管理

 

要旨

21章の全体概要

21章では、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で情報システムを導入する流れと、セキュリティ対策の実装と運用ポイントについて、ECサイトを例にとって説明しています。

 

21-1. ECサイトの構築とセキュリティ機能の実装と運用

ECサイトを例にとり、「デジタル・ガバメント推進標準ガイドライン」に準拠した手順で、企画から要件定義、調達、設計・開発、運用保守までの流れと、セキュリティ機能の実装方法を解説しています。

非機能要件のうちセキュリティに関する要件は、リスクアセスメントを実施して作成した適用宣言書をもとに決定します。

SaaSやパッケージソフトウェアを導入する際に非常に重要なプロセスであるFit&Gap分析については、具体例を含めて解説しています。

 

訴求ポイント

章を通した気づき・学び

「デジタル・ガバメント推進標準ガイドライン」は、中小企業でも活用できる重要なことが数多く記載されています。情報システムを導入する際は、本ガイドラインを参考にすることで、セキュリティ対策を考慮した、効果的な情報システムの導入が可能です。

要件定義におけるセキュリティ要件は、組織で作成した適用宣言書をもとに決定することが重要です。情報資産におけるリスクを考慮して適切なセキュリティ要件を決めることで、情報システムのセキュリティ対策を強化することができます。

 

認識していただきたい実施概要

⚫︎ 情報システムを導入する際は、「デジタル・ガバメント推進標準ガイドライン」を参考に、セキュリティ機能を実装すること。 ⚫︎ 要件定義では、適用宣言書をもとに情報資産におけるリスクを考慮し、適切なセキュリティ要件を決めること。

 

詳細理解のため参考となる文献（参考文献）
DS-120 デジタル・ガバメント推進標準ガイドライン実践ガイドブック	https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/ae9a37b7/20250619_resources_standard_guidelines_guideline_05.pdf
ECサイト構築・運用セキュリティガイドライン	https://www.ipa.go.jp/security/guide/vuln/ps6vr7000000acvt-att/000109337.pdf