😱

非機能要求グレードの歩き方 Vol.19 Eセキュリティ

Junichiroh Hirose

2025/09/22に公開

 はじめに - Vol.19本記事では、IPA[1] が公開する 非機能要求グレード[2] の「E セキュリティ」を対象に、

金融 IT 基盤に 30 年以上携わって得た知見をもとに “やらかしがちな” 技術課題と対策を解説します。

なお、分量が多くなったので、本記事で紹介する「対応関係表」の例を別記事「Vol.20 EセキュリティとNIST CSF 2.0の関係」に分けています。本記事とあわせて参照ください。
筆者は非機能要求グレード初版の執筆に関わった経験があり、行間を含めて解説します。
シリーズ全体の構成は 👉 非機能要求グレードの歩き方 Index をご覧ください。

 E セキュリティ大項目「E セキュリティ」には、該当システムに求めるセキュリティ要件を記載します。
下表は、非機能要求グレード 大項目「E セキュリティ」を抜粋したものです。
表: 「E セキュリティ」の小項目とメトリクス（折りたたんでいます）


大項目
中項目
小項目
メトリクス(〇: 重要項目)


E セキュリティ
E.1 前提条件・制約条件
E.1.1 情報セキュリティに関するコンプライアンス
E.1.1.1 ○ 順守すべき社内規程、ルール、法令、ガイドライン等の有無

〃
E.2 セキュリティリスク分析
E.2.1 セキュリティリスク分析
E.2.1.1 ○ リスク分析範囲

〃
E.3 セキュリティ診断
E.3.1 セキュリティ診断
E.3.1.1 ○ ネットワーク診断実施の有無 
E.3.1.2 ○ Web診断実施の有無
E.3.1.3 　 DB診断実施の有無

〃
E.4 セキュリティリスク管理
E.4.1 セキュリティリスクの見直し
E.4.1.1 　 セキュリティリスク見直し頻度
E.4.1.2 　 セキュリティリスクの見直し範囲

〃
〃
E.4.2 セキュリティリスク対策の見直し
E.4.2.1 　 運用開始後のリスク対応範囲 
E.4.2.2 　 リスク対策方針

〃
〃
E.4.3 セキュリティパッチ適用
E.4.3.1 　 セキュリティパッチ適用範囲 
E.4.3.2 　 セキュリティパッチ適用方針 
E.4.3.3 　 セキュリティパッチ適用タイミング

〃
E.5 アクセス・利用制限
E.5.1 認証機能
E.5.1.1 ○ 管理権限を持つ主体の認証         
E.5.1.2 　 管理権限を持たない主体の認証

〃
〃
E.5.2 利用制限
E.5.2.1 ○ システム上の対策における操作制限度
E.5.2.2 　 物理的な対策による操作制限度

〃
〃
E.5.3 管理方法
E.5.3.1 　 管理ルールの策定

〃
E.6 データの秘匿
E.6.1 データ暗号化
E.6.1.1 ○ 伝送データの暗号化の有無
E.6.1.2 ○ 蓄積データの暗号化の有無
E.6.1.3 　 鍵管理

〃
E.7 不正追跡・監視
E.7.1 不正監視
E.7.1.1 ○ ログの取得
E.7.1.2 ○ ログ保管期間
E.7.1.3 ○ 不正監視対象（装置）
E.7.1.4 ○ 不正監視対象（ネットワーク）
E.7.1.5 ○ 不正監視対象（侵入者・不正操作等）
E.7.1.6 　 確認間隔

〃
〃
E.7.2 データ検証
E.7.2.1 　 デジタル署名の利用の有無
E.7.2.2 　 確認間隔

〃
E.8 ネットワーク対策
E.8.1 ネットワーク制御
E.8.1.1 ○ 通信制御

〃
〃
E.8.2 不正検知
E.8.2.1 ○ 不正通信の検知範囲

〃
〃
E.8.3 サービス停止攻撃の回避
E.8.3.1 ○ ネットワークの輻輳対策

〃
E.9 マルウェア対策
E.9.1 マルウェア対策
E.9.1.1 ○ マルウェア対策実施範囲 
E.9.1.2 　 リアルタイムスキャンの実施
E.9.1.3 　 フルスキャンの定期チェックタイミング

〃
E.10 Web対策
E.10.1 Web実装対策
E.10.1.1 ○ セキュアコーディング、Webサーバの設定等による対策の強化
E.10.1.2 ○ WAFの導入の有無

〃
E.11 セキュリティインシデント対応/復旧
E.11.1 セキュリティインシデント対応/復旧
E.11.1.1 　 セキュリティインシデントの対応体制


大項目「E セキュリティ」は他の大項目と比べて小項目の粒度が細かく定義されているため、本記事では、中項目ごとに解説します。

 NIST CSF 2.0システムのセキュリティ対策を語るとき、米国国立標準技術研究所: National Institute of Standards and Technology (NIST) のCybersecurity Framework (CSF) は外せません。
!非機能要件は、「小項目」ごとに、文章で「レベル」が分かるよう具体的に記述しましょう！

(再掲、大事なことなので繰り返し言います。詳細Vol.1を参照ください）

と言っていますが、

「E セキュリティ」については、NIST CSF 2.0 のカテゴリーごとに記述することをお勧めします。

NIST CSFは、ISO/IEC 27001(JIS Q 27001) とともに、世界で最も参考にされているセキュリティガイドラインの一つです。[3]
非機能要求グレードの「E セキュリティ」のスコープは、NIST CSFに近く、ISO/IEC 27001が最も広範囲で汎用的となっています。


ガイドライン
対象単位
対象技術


ISO/IEC 27001
企業・組織
情報セキュリティ全般

NIST CSF
〃
サイバーセキュリティリスク


非機能要求グレード（E セキュリティ）
システム
サイバーセキュリティリスク対策

特に「カテゴリー」が、非機能要求グレードの「小項目」と対応しやすく、記述の軸として最適です。



非機能要求グレード
NIST CSFのコア


大分類
大項目「E セキュリティ」
（NIST CSF全体）

中分類
中項目
機能

網羅的な記述単位
小項目
カテゴリー

主要な記述事項
（網羅性はない）
メトリクス
（コスト影響に着目）
サブカテゴリー
（セキュリティ観点に着目）

主要な記述事項の補足
補足欄
参考情報


 NIST CSF vs 非機能要求グレードNIST CSFは、企業・組織全体におけるセキュリティ対策を体系化したフレームワークです。

⇒　システム単位ではなく、組織横断的な対応が前提となっています。
非機能要求グレードは、システム開発における非機能要件を整理するための指針です。

⇒　セキュリティ項目も含まれますが、2018年以降の最新動向は反映されません。



NIST CSF
非機能要求グレード


ターゲット
サイバーセキュリティ部門
システムの受発注者

具体性
具体的脅威と対策は、
実装例、参考情報などの補足リソース
で提供。継続的に最新化

脅威と対策の項目が含まれるが、
最新動向は反映されない[4]


公開経緯
2025時点

2014.4 NIST CSF 1.0 (初版)
2018.4 NIST CSF 1.1
2024.2 NIST CSF 2.0
⇒継続更新中

2010.4 非機能要求グレード（初版）[5]
2018.2 非機能要求グレード 第2版
⇒更新終了




主な改訂
・対象を重要インフラから、
　全企業・組織に拡大
・機能：GV（統治） を追加、
　カテゴリー・サブカテゴリーの再編
・実装例を追加、参考情報を拡充、
　クイックスタートガイドを追加
・サプライチェーンリスク
　マネジメント （SCRM） の強化
・中項目 E.11 セキュリティ
　インシデント対応/復旧を追加、
　11メトリクスを修正


 「E セキュリティ」要件の記述方法セキュリティ要件は、以下を考慮して定める必要があります。
最新セキュリティ事情の反映

セキュリティは、変化が激しく、最新の脅威や対策動向を反映することが不可欠です。

NIST CSFは、普遍的なフレームワークに加え、

実装例や参考情報などの補足リソースを通じて最新情報を提供しています。
一方、非機能要求グレードは、普遍的な分類項目と具体的な脅威・対策の項目が混在しています。また、2018年以降の動向は反映されません。

⇒　最新動向を踏まえて必要な対策を列挙し、項目追加や記載先の検討が必要です。
関連ガイドラインを網羅

セキュリティ要件を記述する際は、少なくとも以下の3つのガイドラインとの対応関係を整理し、漏れなく記述する必要があります。






非機能要求グレードの大項目「E セキュリティ」

NIST CSF 2.0


自社や自組織のガイドライン
（自業態のガイドラインの取り込みが遅れていれば、そちらも）


 推奨される記述アプローチ（NIST CSF軸）以下の手順で記述することを推奨します：
NIST CSFのカテゴリーを軸に、関係ガイドラインとの 「対応関係表」を作成する。
非機能要求グレードの小項目

※ Vol.20にて「対応関係表」の例を示します。
自社・自組織のガイドライン
NIST CSFに沿って、セキュリティ要件を記述する。
「対応関係表」を参照し、他ガイドラインの観点も網羅する。

企業・組織として実施している事項（※）とのインタフェース要件を記述する。
当該システムに要求する事項が無ければその旨記載する。
自社や自組織のガイドラインに記載されていることが望ましい

※　Computer Security Incident Response Team (CSIRT)、

　　Security Operation Center (SOC) 、

　　Security Information and Event Management (SIEM) など

 非機能要求グレードを軸に記述する場合の注意点
注意：2018年以降の動向を補う必要あり（項目追加など）

非機能要求グレードには、最新の脅威に対応する項目が不足しています。

NIST CSFなどを参考に、必要な対策を列挙し、項目追加や記載先の工夫が必要です。
例：2025年現在では以下のような対策が求められていますが、

非機能要求グレードには適切な小項目が存在しません。

・ ランサムウェア対策

・ サードパーティー（サプライチェーン）リスク対策


 複数のガイドラインを充足することを示す資料を作成する場合の注意点注意: 軸とするガイドラインにより、記載先が異なる事項が存在する

記載内容を入れ替えた資料は作成せず、「対応関係表（逆引き）」の作成にとどめることをお勧めします。
「対応関係表」は、軸と関係項目を入れ替えても問題は生じませんが、

それと紐づく記述内容まで入れ替えただけでは、一部の内容がふさわしくない項目に記載されることとなり、資料の信ぴょう性を損なうことになります。

（精査して適切な項目に配置しなおすことはできますが、今度は、網羅性や不整合の確認などのメンテナンス性が非常に悪くなります）
例：SQLインジェクション対策は、軸により、PR.DS もしくは E.10.1 に記述することが適切です。

しかし、「データセキュリティ」と「Web実装対策」は若干関連はあるもの、「対応関係表」では主な関係先とならないため、SQLインジェクション対策は、ふさわしくない項目に記載されることになります。

▶ NIST CSF 2.0を軸とする場合:

　　　 PR.DS (データセキュリティ) / PR.DS-01: データの保護

▶ 非機能要求グレードを軸とする場合:

　　　 E.10.1 Web実装対策 / E.10.1.1 セキュアコーディング

 あったら怖い本当の話※　実際に起きたことを、脱色デフォルメしたフィクションにして紹介します。

 😱セルフチェックで問題なし！？ある金融基幹システムの更改プロジェクトでの出来事です。

・非機能要件は、現行システムと同等の内容をベースに、改めて文書化して定義

・セキュリティ対策についても、現行で適用している自社および業界の最新版ガイドラインをセルフチェックし、必要な対応を実施
業界ガイドライン

・金融庁：サイバーセキュリティガイドライン

・金融庁：経済安全保障推進法の特定社会基盤事業者向け解説
新システムの開発は順調に進み、総合試験工程へ
!総合試験工程の終盤、社内セキュリティ部門によるセキュリティ診断を実施したところ
「充足に満たない対応を根拠に【充足】と評価している項目が複数ある」との指摘を受け、

セキュリティ評価は【不達】となりました。

 緊急対応急遽、セキュリティ専門家を加えた特別対応体制を組成
【不達】事項に対して、専門家が確認した対策を策定・実施
追加対策に伴うデグレードリスクのある試験観点は再試験
結果的に総合試験工程内でリカバリできましたが、後半はプロジェクトメンバー全員に大きな負荷がかかる状況となりました。

 敗因セキュリティ対策のチェックは、基盤技術者によるセルフチェックで実施
担当者は10年以上前の知識をベースにガイドラインを解釈
ガイドラインは簡潔な記述が多く、具体的な対策を導くにはシステム特性とセキュリティ最新動向の把握が不可欠


担当者はシステム特性には詳しかったものの、セキュリティ専門家ではなく、最新動向を把握していなかったため、必要な対策を見誤ってしまった。

 再発防止重要システムに対する品質評価活動において、以下のようにセキュリティ評価体制を強化しました。


対象
評価者
評価タイミング
実施内容


システム品質
第三者の品質有識者
工程ごと
工程品質を評価

セキュリティ
第三者の診断サービス
プロジェクトで定める
セキュリティ対策の充足を確認

非機能要件
同様の基盤方式の有識者
工程ごと適宜
(有識者と協議)
実現状況を確認しアドバイス

セキュリティ
（追加）

セキュリティ有識者(※)
〃
〃

※　セキュリティ有識者には、システムの重要度に応じた有資格者をアサインし、指摘対応に必要な期間を考慮して計画すること。

 まとめ本記事では、セキュリティは、NIST CSFのカテゴリーごとに非機能要求グレードの対応を意識して記述することを推奨することを説明しました。
最後に、NTTデータの金融高度技術本部では、ともに金融ITの未来を切り拓く仲間を募集しています。[募集要領]

https://nttdata-career.jposting.net/u/job.phtml?job_code=1172

[NTTデータ 金融分野の取り組み]

https://www.nttdata.com/jp/ja/industries/finance/

脚注
IPA（独立行政法人 情報処理推進機構, Information-technology Promotion Agency, Japan） ↩︎
非機能要求グレード:

参照用pdf: 非機能要求グレード2018 改訂情報(PDF:897 KB)

活用用xls: 非機能要求グレード本体（日本語版）、利用ガイド［活用編］一括ダウンロード(ZIP:9.7 MB)の　06‗活用シート.xls ↩︎
出典：NRI Secure Insight 2022 セキュリティ評価を実施している企業が参考にするセキュリティガイドライン ↩︎
IPAの非機能要求グレードの事業は終了しています ↩︎
IPAでは、2010年4月に「非機能要求グレード」の初版を公開 ↩︎

大項目	中項目	小項目	メトリクス(〇: 重要項目)
E セキュリティ	E.1 前提条件・制約条件	E.1.1 情報セキュリティに関するコンプライアンス	E.1.1.1 ○ 順守すべき社内規程、ルール、法令、ガイドライン等の有無
〃	E.2 セキュリティリスク分析	E.2.1 セキュリティリスク分析	E.2.1.1 ○ リスク分析範囲
〃	E.3 セキュリティ診断	E.3.1 セキュリティ診断	E.3.1.1 ○ ネットワーク診断実施の有無 E.3.1.2 ○ Web診断実施の有無 E.3.1.3 　 DB診断実施の有無
〃	E.4 セキュリティリスク管理	E.4.1 セキュリティリスクの見直し	E.4.1.1 　セキュリティリスク見直し頻度 E.4.1.2 　セキュリティリスクの見直し範囲
〃	〃	E.4.2 セキュリティリスク対策の見直し	E.4.2.1 　運用開始後のリスク対応範囲 E.4.2.2 　リスク対策方針
〃	〃	E.4.3 セキュリティパッチ適用	E.4.3.1 　セキュリティパッチ適用範囲 E.4.3.2 　セキュリティパッチ適用方針 E.4.3.3 　セキュリティパッチ適用タイミング
〃	E.5 アクセス・利用制限	E.5.1 認証機能	E.5.1.1 ○ 管理権限を持つ主体の認証 E.5.1.2 　管理権限を持たない主体の認証
〃	〃	E.5.2 利用制限	E.5.2.1 ○ システム上の対策における操作制限度 E.5.2.2 　物理的な対策による操作制限度
〃	〃	E.5.3 管理方法	E.5.3.1 　管理ルールの策定
〃	E.6 データの秘匿	E.6.1 データ暗号化	E.6.1.1 ○ 伝送データの暗号化の有無 E.6.1.2 ○ 蓄積データの暗号化の有無 E.6.1.3 　鍵管理
〃	E.7 不正追跡・監視	E.7.1 不正監視	E.7.1.1 ○ ログの取得 E.7.1.2 ○ ログ保管期間 E.7.1.3 ○ 不正監視対象（装置） E.7.1.4 ○ 不正監視対象（ネットワーク） E.7.1.5 ○ 不正監視対象（侵入者・不正操作等） E.7.1.6 　確認間隔
〃	〃	E.7.2 データ検証	E.7.2.1 　デジタル署名の利用の有無 E.7.2.2 　確認間隔
〃	E.8 ネットワーク対策	E.8.1 ネットワーク制御	E.8.1.1 ○ 通信制御
〃	〃	E.8.2 不正検知	E.8.2.1 ○ 不正通信の検知範囲
〃	〃	E.8.3 サービス停止攻撃の回避	E.8.3.1 ○ ネットワークの輻輳対策
〃	E.9 マルウェア対策	E.9.1 マルウェア対策	E.9.1.1 ○ マルウェア対策実施範囲 E.9.1.2 　リアルタイムスキャンの実施 E.9.1.3 　フルスキャンの定期チェックタイミング
〃	E.10 Web対策	E.10.1 Web実装対策	E.10.1.1 ○ セキュアコーディング、Webサーバの設定等による対策の強化 E.10.1.2 ○ WAFの導入の有無
〃	E.11 セキュリティインシデント対応/復旧	E.11.1 セキュリティインシデント対応/復旧	E.11.1.1 　セキュリティインシデントの対応体制

ガイドライン	対象単位	対象技術
ISO/IEC 27001	企業・組織	情報セキュリティ全般
NIST CSF	〃	サイバーセキュリティリスク
非機能要求グレード（E セキュリティ）	システム	サイバーセキュリティリスク対策

	非機能要求グレード	NIST CSFのコア
大分類	大項目「E セキュリティ」	（NIST CSF全体）
中分類	中項目	機能
網羅的な記述単位	小項目	カテゴリー
主要な記述事項（網羅性はない）	メトリクス（コスト影響に着目）	サブカテゴリー（セキュリティ観点に着目）
主要な記述事項の補足	補足欄	参考情報

	NIST CSF	非機能要求グレード
ターゲット	サイバーセキュリティ部門	システムの受発注者
具体性	具体的脅威と対策は、実装例、参考情報などの補足リソースで提供。継続的に最新化	脅威と対策の項目が含まれるが、最新動向は反映されない^[4]
公開経緯 2025時点	2014.4 NIST CSF 1.0 (初版) 2018.4 NIST CSF 1.1 2024.2 NIST CSF 2.0 ⇒継続更新中	2010.4 非機能要求グレード（初版）^[5] 2018.2 非機能要求グレード第2版 ⇒更新終了
主な改訂	・対象を重要インフラから、　全企業・組織に拡大・機能：GV（統治）を追加、　カテゴリー・サブカテゴリーの再編・実装例を追加、参考情報を拡充、　クイックスタートガイドを追加・サプライチェーンリスク　マネジメント（SCRM）の強化	・中項目 E.11 セキュリティ　インシデント対応/復旧を追加、　11メトリクスを修正


非機能要求グレードの大項目「E セキュリティ」
NIST CSF 2.0
自社や自組織のガイドライン（自業態のガイドラインの取り込みが遅れていれば、そちらも）

対象	評価者	評価タイミング	実施内容
システム品質	第三者の品質有識者	工程ごと	工程品質を評価
セキュリティ	第三者の診断サービス	プロジェクトで定める	セキュリティ対策の充足を確認
非機能要件	同様の基盤方式の有識者	工程ごと適宜 (有識者と協議)	実現状況を確認しアドバイス
セキュリティ（追加）	セキュリティ有識者(※)	〃	〃

NTT DATA TECH

NTT DATA公式アカウントです。技術を愛するNTT DATAの技術者が、気軽に楽しく発信していきます。当社のサービスなどについてのお問い合わせは、お問い合わせフォーム nttdata.com/jp/ja/contact-us/ へお願いします。

設定によりコメント欄が無効化されています