# セキュリティ（Security）

## セキュリティの基本方針

システムを様々な脅威から保護し、機密性、完全性、可用性を確保するためのインフラ・ミドルウェア戦略を以下に示す。

### セキュリティ統制方針
- **多層防御**: ネットワーク、ホスト、データ、アクセス制御など、複数のレイヤーでセキュリティ対策を講じる
- **最小権限の原則**: ユーザーおよびシステムプロセスには、業務遂行に必要な最小限の権限のみを付与
- **セキュリティバイデザイン**: システム設計段階からセキュリティ要件を組み込み、後付けの対策を避ける
- **継続的な監視と改善**: セキュリティログの監視、脆弱性診断を定期的に実施し、セキュリティレベルを維持・向上

### アクセス制御方針
- **強固な認証**: 多要素認証（MFA）を導入し、不正アクセスリスクを低減
- **厳密なアクセス制御**: ネットワークレベル、ホストレベルでアクセス元IPアドレスやポートを制限

### データ保護方針
- **暗号化の徹底**: 通信経路および保存データの暗号化を必須とし、データ漏洩リスクを排除
- **バックアップの保護**: バックアップデータもセキュリティ管理の対象とし、不正アクセスから保護

### 監視・検知方針
- **セキュリティログの一元管理**: 各種セキュリティログを中央集約し、不正アクセスや攻撃の検知・分析を可能にする
- **不正侵入検知・防御**: ネットワークおよびホストレベルで不正な通信や挙動を検知・防御する仕組みを導入

---

## セキュリティ要件の実現方式

### E1. 前提条件・制約条件 (Prerequisites & Constraints)

#### E1.1 情報セキュリティに関するコンプライアンス (Information Security Compliance)

##### E1.1.1 順守すべき社内規程、ルール、法令、ガイドライン等の有無
- **要件**: 以下の社内規程、法令、ガイドラインに準拠したセキュリティ対策を実施すること
  - 社内情報セキュリティポリシー
  - 個人情報保護法
  - ISO/IEC 27001 (ISMS)
  - クラウドセキュリティガイドライン (NIST SP 800-145)
- **実現方式・仕様**:
  - クラウド環境の設定は、CIS Benchmarks for [Cloud Provider]に準拠
  - ネットワーク構成、サーバー設定、アクセス制御は、社内セキュリティポリシーに明記された基準を満たす
  - 監査ログの取得と保管期間は、個人情報保護法および社内規程に準拠

### E2. セキュリティリスク分析 (Security Risk Analysis)

#### E2.1 セキュリティリスク分析 (Security Risk Analysis)

##### E2.1.1 リスク分析範囲
- **要件**: システム全体を対象とし、インフラ、ミドルウェア、ネットワーク、データ、運用プロセスにおける脅威と脆弱性を洗い出す
- **実現方式・仕様**:
  - DREADモデル（Damage, Reproducibility, Exploitability, Affected users, Discoverability）に基づきリスクを評価
  - クラウド環境の共有責任モデルに基づき、クラウドプロバイダーと利用者の責任範囲を明確化し、リスク分析を実施
  - 脅威モデリングツール（例: OWASP Threat Dragon）を活用し、設計段階でリスクを特定

### E3. セキュリティ診断 (Security Assessment)

#### E3.1 セキュリティ診断 (Security Assessment)

##### E3.1.1 ネットワーク診断実施の有無
- **要件**: 本番リリース前に、外部からのネットワーク脆弱性診断を実施すること
- **実現方式・仕様**:
  - 外部の専門機関によるペネトレーションテスト（年1回）
  - クラウド環境のネットワークセキュリティグループ、NACL、WAF設定に対する脆弱性スキャン（リリース前、大規模変更後）
  - ポートスキャン、サービスバナー情報取得など、外部からの情報収集に対する防御状況を確認

##### E3.1.2 Web診断実施の有無
- **要件**: 本番リリース前に、Webアプリケーションに対する脆弱性診断を実施すること
- **実現方式・仕様**:
  - 外部の専門機関によるWebアプリケーション脆弱性診断（年1回）
  - WAF（Web Application Firewall）のルールセットが適切に設定され、一般的なWeb攻撃（SQLインジェクション、XSSなど）を防御できることを確認

### E5. アクセス・利用制限 (Access & Usage Restriction)

#### E5.1 認証機能 (Authentication Function)

##### E5.1.1 管理権限を持つ主体の認証
- **要件**: システム管理者は、多要素認証（MFA）を必須とし、パスワードポリシーを厳格に適用すること
- **実現方式・仕様**:
  - クラウドプロバイダーのIAM（Identity and Access Management）サービスを利用し、MFAを必須設定
  - SSH接続には公開鍵認証を必須とし、パスワード認証を無効化
  - 認証基盤としてIDaaS（Identity as a Service）を導入し、シングルサインオン（SSO）と厳格な認証ポリシーを適用

#### E5.2 利用制限 (Usage Restriction)

##### E5.2.1 システム上の対策における操作制限度
- **要件**: システム管理者であっても、本番環境への直接的なデータ変更操作は原則禁止とし、監査ログが取得されること
- **実現方式・仕様**:
  - クラウドのIAMポリシーにより、本番環境のデータベースへの直接アクセス権限を制限
  - 変更はCI/CDパイプラインを通じた自動デプロイを原則とし、手動操作は緊急時のみに限定し、厳格な承認プロセスと監査を必須とする
  - 踏み台サーバー（Bastion Host）経由でのSSH接続を必須とし、セッションログを記録

### E6. データの秘匿 (Data Confidentiality)

#### E6.1 データ暗号化 (Data Encryption)

##### E6.1.1 伝送データの暗号化の有無
- **要件**: 全ての通信経路において、機密データを暗号化すること
- **実現方式・仕様**:
  - Web通信はHTTPS/TLS 1.2以上を必須とし、適切な暗号スイートを設定
  - サーバー間通信、データベース接続はTLS/SSL暗号化を適用
  - VPN接続を介した通信はIPsec/TLS暗号化を適用

##### E6.1.2 蓄積データの暗号化の有無
- **要件**: データベース、ファイルストレージに保存される機密データを暗号化すること
- **実現方式・仕様**:
  - データベースは、透過的データ暗号化（TDE）またはストレージレベルの暗号化を適用
  - オブジェクトストレージは、サーバーサイド暗号化（SSE-S3, SSE-KMSなど）を必須設定
  - 暗号鍵は、KMS（Key Management Service）などの鍵管理サービスで安全に管理

### E7. 不正追跡・監視 (Fraud Tracking & Monitoring)

#### E7.1 不正監視 (Fraud Monitoring)

##### E7.1.1 ログの取得
- **要件**: 以下のログを網羅的に取得し、不正行為の追跡を可能にすること
  - 認証ログ（成功/失敗）
  - アクセスログ（IPアドレス、日時、操作内容）
  - システムログ（OS、ミドルウェアのエラー/警告）
  - ネットワークログ（ファイアウォール、ロードバランサー）
- **実現方式・仕様**:
  - 全てのログを中央ログ管理システム（例: ELK Stack, Splunk）に集約
  - クラウドの監査ログサービス（例: AWS CloudTrail, Azure Activity Log）を有効化し、API操作ログを取得

##### E7.1.2 ログ保管期間
- **要件**: 監査ログは最低1年間、その他のログは3ヶ月間オンラインで参照可能とし、その後はアーカイブして3年間保管すること
- **実現方式・仕様**:
  - ログ管理システムのストレージポリシーを設定し、期間に応じた保存先（高速ストレージ、アーカイブストレージ）を自動切り替え
  - アーカイブされたログは、必要に応じて迅速に検索・分析できる体制を整備

##### E7.1.3 不正監視対象（装置）
- **要件**: サーバー（物理/仮想）、ネットワーク機器、ストレージ、データベースを不正監視の対象とすること
- **実現方式・仕様**:
  - 各サーバーにエージェント型監視ツールを導入し、OS/ミドルウェアの異常な挙動を検知
  - ネットワーク機器のSyslogを収集し、不正な通信パターンを監視
  - データベースの監査ログを有効化し、異常なクエリやアクセスを検知

##### E7.1.4 不正監視対象（ネットワーク）
- **要件**: 外部からの不正アクセス、内部からの不正通信、DDoS攻撃を監視対象とすること
- **実現方式・仕様**:
  - IDS/IPS（侵入検知・防御システム）を導入し、ネットワークトラフィックを監視
  - クラウドのネットワーク監視サービス（例: AWS VPC Flow Logs, Azure Network Watcher）を有効化し、通信ログを分析
  - WAF（Web Application Firewall）を導入し、Web攻撃パターンを検知・防御

##### E7.1.5 不正監視対象（侵入者・不正操作等）
- **要件**: 認証失敗回数の異常増加、特権ユーザーによる不審な操作、設定変更の異常を監視対象とすること
- **実現方式・仕様**:
  - 認証ログを監視し、一定回数以上の認証失敗があった場合にアラートを発報
  - クラウドのIAMログやSSHセッションログを監視し、特権ユーザーの操作を詳細に記録・分析
  - 構成管理ツール（例: Config）を用いて、インフラ設定の意図しない変更を検知

### E8. ネットワーク対策 (Network Countermeasures)

#### E8.1 ネットワーク制御 (Network Control)

##### E8.1.1 通信制御
- **要件**: 外部からの不要な通信を遮断し、内部からの外部への不必要な通信も制限すること
- **実現方式・仕様**:
  - ファイアウォール（セキュリティグループ、NACL）でインバウンド/アウトバウンド通信を厳密に制御（最小権限の原則）
  - 外部公開が必要なポート（例: 443/TCP）のみを許可し、管理用ポート（例: 22/TCP, 3389/TCP）は限定されたIPアドレスからのみ許可
  - プロキシサーバーを導入し、内部からの外部インターネットへのアクセスを制御・監視

#### E8.2 不正検知 (Intrusion Detection)

##### E8.2.1 不正通信の検知範囲
- **要件**: ネットワーク境界（DMZ）、内部ネットワーク、サーバーホストレベルで不正通信を検知すること
- **実現方式・仕様**:
  - ネットワークレベルではIDS/IPSを導入し、シグネチャベースおよび異常検知ベースで不正通信を検知
  - ホストレベルではHIDS（Host-based IDS）を導入し、サーバー内部の不審なファイル変更やプロセス起動を検知
  - クラウドの脅威検知サービス（例: AWS GuardDuty, Azure Security Center）を有効化し、異常なネットワークアクティビティを検知

#### E8.3 サービス停止攻撃の回避 (DDoS Attack Mitigation)

##### E8.3.1 ネットワークの輻輳対策
- **要件**: DDoS攻撃によるサービス停止を回避するため、多層的な対策を講じること
- **実現方式・仕様**:
  - クラウドプロバイダーのDDoS対策サービス（例: AWS Shield Advanced, Azure DDoS Protection）を導入
  - CDN（Content Delivery Network）を導入し、エッジロケーションで大量のリクエストを吸収・分散
  - WAFで不正なリクエストをフィルタリングし、バックエンドサーバーへの到達を抑制
  - ロードバランサーのキャパシティを十分に確保し、急激なトラフィック増加に対応

### E9. マルウェア対策 (Malware Countermeasures)

#### E9.1 マルウェア対策 (Malware Countermeasures)

##### E9.1.1 マルウェア対策実施範囲
- **要件**: 全てのサーバー（OS）、ファイルストレージ、開発・運用端末においてマルウェア対策を実施すること
- **実現方式・仕様**:
  - サーバーにはアンチウイルスソフトウェアを導入し、リアルタイムスキャンおよび定期スキャンを実施
  - アンチウイルスソフトウェアの定義ファイルは自動更新されるよう設定
  - ファイルストレージ（例: S3）にアップロードされるファイルは、マルウェアスキャンサービスと連携し、感染ファイルを検知・隔離

### E10. Web対策 (Web Countermeasures)

#### E10.1 Web実装対策 (Web Implementation Countermeasures)

##### E10.1.1 セキュアコーディング、Webサーバの設定等による対策の強化
- **要件**: Webサーバーおよびミドルウェアの設定において、OWASP Top 10などの一般的な脆弱性に対応すること
- **実現方式・仕様**:
  - Webサーバー（例: Nginx, Apache）の設定において、不要なモジュールの無効化、ディレクトリリスティングの禁止、HTTPヘッダーのセキュリティ強化（HSTS, CSPなど）
  - ミドルウェアのデフォルト設定からの変更、不要なポートの閉鎖、最新のセキュリティパッチ適用

##### E10.1.2 WAFの導入の有無
- **要件**: Webアプリケーションへの攻撃を防御するため、WAFを導入すること
- **実現方式・仕様**:
  - クラウドのマネージドWAFサービス（例: AWS WAF, Azure Application Gateway WAF）を導入
  - OWASP ModSecurity Core Rule Set（CRS）をベースに、特定のアプリケーション要件に応じたカスタムルールを追加
  - WAFのログをセキュリティ監視システムに連携し、攻撃の傾向を分析

---

## テスト計画（セキュリティ関連）

### 脆弱性診断（ペネトレーションテスト）
- **実施時期**: 本番リリース前、および大規模な機能改修後（年1回以上）
- **テスト項目**:
  - 外部からのネットワーク脆弱性（ポートスキャン、サービス脆弱性など）
  - Webアプリケーション脆弱性（OWASP Top 10など）
  - クラウド設定の脆弱性（IAM設定、セキュリティグループ設定など）
- **合格基準**: 検出された脆弱性が全て修正または対策され、リスクレベルが許容範囲内であること

### 設定監査（コンフィグレーションレビュー）
- **実施時期**: 本番リリース前、および大規模な構成変更後（四半期ごと）
- **テスト項目**:
  - ファイアウォール、セキュリティグループ、NACLの設定が最小権限の原則に準拠しているか
  - サーバーOS、ミドルウェアのセキュリティ設定がガイドラインに準拠しているか
  - IAMポリシー、ユーザー権限が適切に設定されているか
- **合格基準**: 全てのセキュリティ設定が社内規程およびガイドラインに準拠していること

### 認証・認可テスト
- **実施時期**: 本番リリース前、および認証・認可機能改修後
- **テスト項目**:
  - 多要素認証（MFA）が正しく機能すること
  - 各ユーザーロールに応じたアクセス権限が適切に制御されていること
  - 認証失敗時のロックアウト機能が機能すること
- **合格基準**: 認証・認可機能が設計通りに動作し、不正アクセスを防止できること

### セキュリティログ監視テスト
- **実施時期**: 本番リリース前、および監視設定変更後
- **テスト項目**:
  - 不正ログイン試行、アクセス拒否、WAF検知などのイベントがセキュリティログに記録されること
  - 記録されたログが中央ログ管理システムに正確に転送されること
  - 閾値を超えた場合にアラートが発報されること
- **合格基準**: セキュリティイベントが適切にログとして記録され、アラートが遅延なく通知されること

---

## リスクと対策

| No | リスク | 影響 | 発生確率 | 対策 |
|----|--------|------|---------|------|
| 1 | 不正アクセスによる情報漏洩・改ざん | 顧客情報流出、システム停止、信頼失墜 | 高 | 多要素認証の必須化、最小権限の原則、ネットワーク・ホストレベルの厳格なアクセス制御、WAF/IDS/IPSの導入 |
| 2 | DDoS攻撃によるサービス停止 | サービス提供不能、機会損失 | 中 | クラウドDDoS対策サービス導入、CDN活用、WAFによるフィルタリング、ロードバランサーのキャパシティ確保 |
| 3 | 脆弱性放置による攻撃 | システム乗っ取り、情報漏洩、マルウェア感染 | 高 | 定期的な脆弱性診断（Web/NW）、セキュリティパッチの迅速な適用、IaCによる設定の標準化と監査 |
| 4 | マルウェア感染によるシステム障害 | データ破壊、情報漏洩、踏み台利用 | 中 | 全サーバーへのアンチウイルス導入、定義ファイルの自動更新、ファイルスキャンサービス連携 |
| 5 | 内部不正による情報持ち出し・操作 | 機密情報漏洩、データ改ざん、システム停止 | 中 | 最小権限の原則、特権ユーザー操作の厳格な監査、MFA必須化、アクセスログの詳細記録と監視 |
| 6 | 設定不備によるセキュリティホール | 不正アクセス、情報漏洩の経路提供 | 中 | IaCによる設定管理とバージョン管理、セキュリティ設定の自動監査、定期的な設定レビュー |
| 7 | ログの不備による原因究明困難 | 障害・インシデント発生時の対応遅延、再発防止策の欠如 | 低 | 網羅的なログ取得、中央ログ管理システムへの集約、ログ保管期間の遵守 |

---