preencoded.png セキュリティ要件の作り方 ：効果的なプロセスと実践 的アプローチ セキュリティ要件の策定は、組織のITセキュリティ体制を構築する上で極め て重要なプロセスである。本プレゼンテーションでは、セキュリティ要件 を効果的に作成するための体系的なアプローチを紹介する。計画段階から 実装、承認に至るまでの各ステップを詳細に解説し、実践的なガイドライ ンを提供する。

preencoded.png 1. 目的の確認と文書体系の整理 目的の確認 セキュリティ要件作成の第一歩は、明確な目的の設定である。 どのようなリスクに対して統制をかけたいのかを特定すること が重要である。これにより、要件の焦点が明確になり、効果的 な対策の立案が可能となる。 文書体系の整理 要件の粒度（方針レベルか実装レベルか）を決定し、既存の文 書体系における位置づけを明確にする。新規文書の作成か既存 文書の拡充かを判断し、全体的な文書構造を整理することで、 一貫性のある要件策定が可能となる。

preencoded.png 2. 運用の整理と検討体制づくり 1 運用の整理 所管部門の決定、改廃のタイミングと権限の設定、要件の参照プロ セスの明確化を行う。これにより、要件の継続的な管理と適切な活 用が可能となる。 2 検討体制づくり 外部支援の必要性を判断し、影響を受ける部門を特定する。キーパ ーソンを決定し、レビューに巻き込む。承認者を確認し、全体的な 検討体制を構築する。 3 アプローチの決定 ゼロベースアプローチか既存文書ベースアプローチかを選択する。 それぞれの長所と短所を考慮し、組織の状況に最適なアプローチを 決定する。

preencoded.png 3. 学習フェーズと論議フェーズ 参考ドキュメントの選定 ベストプラクティス、ガイドライン、自社の既存要件など、適切な参考 資料を選定する。これらの資料は、要件作成の基礎となる重要な情報源 となる。 学習フェーズ 1〜2週間かけて、選定した資料から学習を行う。セキュリティの仕組み 、リスク、対策、未対応の影響などを理解し、不明点や論点を洗い出す 。 論議フェーズ ベンダー、セキュリティ担当、現場担当者と方針を議論する。ベストプ ラクティスと現場のニーズのバランスを取り、実現可能で効果的な要件 を模索する。

preencoded.png 4. 記載フェーズ（その1） 1 たたき台の作成 要件本体、チェックリスト、必 要に応じて補足資料を含むたた き台を作成する。これが後続の 改訂作業の基礎となる。 2 自己レビュー 内容、構造、見た目の観点から 20〜30回程度の自己レビュー を行う。論議した方針との整合 性、表現の明確さ、対象範囲の 適切さなどを確認する。 3 構造と見た目の最適化 箇条書きの関係性明記、要点の 冒頭配置、重要度順の配列、文 章構造の明確化など、読みやす さと理解しやすさを重視した構 成を心がける。 4 表現の統一と簡潔化 主語・目的語の明確化、文体の 統一、用語の補足、重複の排除 、表記のゆれの解消などを行い 、一貫性のある簡潔な文書を作 成する。

preencoded.png 5. 記載フェーズ（その2）とレ ビュー 現場担当のレビュー 実装のイメージが明確か、自社環 境で実現可能か、予期せぬ困難が 含まれていないかなどを確認する 。現場の視点からの実現可能性と 妥当性を評価する。 記録の保存 すべてのやりとりを内部資料とし て保存する。これにより、後の参 照や改訂時の参考資料として活用 できる。 承認者のレビュー 最終的な承認者によるレビューを 行う。組織の方針との整合性、全 体的な妥当性などの観点から確認 を受ける。 周辺文書の作成 新旧対照表、現場への情宣資料、 英訳版、参考ドキュメントとのマ ッピングなど、必要な周辺文書を 作成する。これにより、要件の理 解と実装を促進する。

preencoded.png 6. 情宣と承認プロセス 1 情宣活動 各関係部門を訪問し、改定概要を説明する。要件の目的、主要な変 更点、期待される効果などを丁寧に解説し、組織全体の理解と協力 を得る。 2 最終確認 情宣活動中に得られたフィードバックを反映し、必要に応じて微調 整を行う。すべての関係者が納得できる最終版を作成する。 3 正式承認 新しい要件を正式に発効し、規定された運用方法で実施することに ついて、承認の証跡を残す。これにより、要件の正当性と実行力が 担保される。

preencoded.png セキュリティ要件作成の成功に向けて 明確な目的設定 リスクと対策の明確化により、焦点を絞った効 果的な要件を作成する。 包括的な検討体制 関係部門の巻き込みと外部知見の活用で、バラ ンスの取れた要件を策定する。 綿密な文書作成 詳細なレビューと継続的な改善により、高品質 で実効性のある要件を作り上げる。 組織全体の合意形成 丁寧な情宣と承認プロセスにより、要件の浸透 と実践を確実なものとする。 セキュリティ要件の作成は、組織のセキュリティ体制強化の礎となる重要なプロセスである。本プレ ゼンテーションで紹介した方法論を参考に、自組織に最適化されたアプローチを採用し、効果的なセ キュリティ要件の策定と運用を実現していただきたい。