財団法人地方自治情報センター(LASDEC)で実施した事業のアーカイブです。
地方公共団体におけるWebアプリケーションの調達の際のセキュリティ要求仕様、とりわけ脆弱性対策のために
必要な要求仕様の雛形及び帳票とその解説書を作成しました。 ご活用ください。
背景
情報システムは住民向けのサービス基盤として欠かせない存在ですが、情報システムを安全に利用する上で
避けては通れない問題があります。それが「脆弱性」に関する問題です。
脆弱性とは情報セキュリティ上の弱点のことであり、脆弱性の問題を放置すると、情報の流出や、ホームページ等、
コンテンツの改ざん、サービスの停止などの問題を引き起こす可能性があります。一見すると安定して動作している
ように見えていても脆弱性が内在することもあり、情報システムの調達・構築・運用にあたってこの対処をあらかじめ
決めておくことは安定的な運用に欠かせないことです。
特に、近年ではWebアプリケーションの脆弱性を狙ったサイバー攻撃の発生が顕著であり、一般のニュースで取り
上げられることも珍しくなくなりました。そして、残念ながら一部の地方公共団体でもWebアプリケーションの脆弱性に
よってWebサイトを改ざんされるなどの被害が発生しているところです。
このような状況にかんがみ、当センターは「地方公共団体における情報システムセキュリティ要求仕様モデルプラン
(Webアプリケーション)」を作成しました。
地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)とは
「地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)」は、地方公共
団体においてWebアプリケーションを導入するにあたって、システムの脆弱性をなくし、安全に運用するために必要な
要求仕様事項を取りまとめた特記仕様書の例です。
同書の内容を一部カスタマイズして各団体の「Webアプリケーションセキュリティに関する特記仕様書」を検討、作成
いただき、入札仕様書に追加要件として添付することにより、SQLインジェクション、クロスサイト・スクリプティング
といったWebアプリケーションの脆弱性や、納品後(運用時)に新たに発見された脆弱性についても計画的に解決する
ための道筋をつけられるようになることを目的として作成しています。
資料ダウンロード
地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)第1.0版(pdfファイル)
地方公共団体における情報システムセキュリティ要求仕様モデルプラン(Webアプリケーション)解説書 第1.0版(pdfファイル)
以下は上記モデルプランをカスタマイズする際等にご活用ください。
特記仕様書(雛形・脚注なし)(docxファイル)
別紙3 遵守状況一覧(xlsxファイル)