今回は非機能要求のセキュリティについて記載しています。

・前提条件・制約条件
　　順守すべき情報セキュリティに関する組織規程やルール、法令、ガイドライン等が
　　存在するかどうかを確認する
　　
・セキュリティリスク分析
　　システム開発を実施する中で、どの範囲で対象システムの脅威を洗い出し、
　　影響の分析を実施するかの方針を確認するための項目を決める
　　
・セキュリティ診断
　　以下のセキュリティ診断の有無を決める
　　・疑似攻撃を実施することにより脆弱性を発見する診断（ペネトレーションテスト）や
　　 ネットワーク上のサーバや通信機能をもつソフトウェアなどに対する脆弱性調査
　　・Webサイトに対して行うWebサーバやWebアプリケーションに対するセキュリティ診断
　　・データベースシステムに対して行うセキュリティ診断

・セキュリティリスクの見直し
　　対象システムにおいて、運用開始後に発見された脅威に対する対策の方針を決める
　　
・セキュリティリスク管理
　　・セキュリティリスクの見直し
　　　運用開始後に新たに発見された脅威の洗い出しとその影響の分析を

　　　どの範囲で実施するかを決める
　　
　　・セキュリティリスク対策の見直し
　　　運用開始後に発見された脅威に対する対策の方針を決める
　　　
　　・セキュリティパッチ適用
　　　システムの脆弱性等に対応する為のセキュリティパッチ適用に関する適用範囲、
　　　方針および適用のタイミングを決める
　　
・アクセス・利用制限
　　・認証機能
　　　資産を利用する主体（利用者や機器等）を識別するための認証を実施するか、

　　　また、どの程度実施するのかを決める

　　・利用制限
　　　認証された利用者や機器に対して、資産の利用等を、

　　　ソフトウェアやハードウェアにより制限するかを決める

　　・管理方法
　　　　認証に必要な情報（例えば、 ID/パスワード、指紋、虹彩、静脈など）の
　　　　追加、更新、削除等のルール策定を実施するかを決める
　　

・データの秘匿
　　機密性のあるデータを、伝送時や蓄積時に秘匿するための暗号化を実施するかを決める
　　　・伝送データ
　　　・蓄積データの暗号化
　　　・鍵管理

・不正追跡・監視
　　不正行為を検知するために、それらの不正について監視する範囲や、

　　監視の記録を保存する量や期間を決める
　　　・ログの取得
　　　・ログ保管期間
　　　・不正監視対象（装置）
　　　・不正監視対象（ネットワーク）
　　　・不正監視対象（侵入者・不正操作等）
　　　・確認間隔

・ネットワーク対策
　・ネットワーク制御
　　　ファイアウォール、IPS、URLフィルタ、メールフィルタ等の導入を決める
　・不正検知
　　　IDS等の導入を決める
　
　・サービス停止攻撃の回避
　　　ネットワークへの攻撃による輻輳についての対策を決める
　　　
・マルウェア対策
　　マルウェア（ウィルス、ワーム、ボット等）の感染を防止する、マルウェア対策の実施範囲や
　　チェックタイミングを決める
　　
・Web対策
　　Webアプリケーション特有の脅威、脆弱性に関する対策(WAF)を決める
　　
・セキュリティインシデント対応/復旧
　　セキュリティインシデントが発生した時に、早期発見し、被害の最小化、

　　復旧の支援等をするための体制を決める