| 大項目 | 中項目 | 小項目 | 小項目説明 |
| 可用性 | 継続性 | 運用スケジュール | システムの稼働時間や停止運用に関する情報。 |
| 業務継続性 | 可用性を保証するにあたり、要求される業務の範囲とその条件。 | ||
| 目標復旧水準 (業務停止時) |
業務停止を伴う障害が発生した際、何をどこまで、どれ位で復旧させるかの目標。 | ||
| 目標復旧水準 (大規模災害時) |
大規模災害が発生した際、どれ位で復旧させるかの目標。 大規模災害とは、火災や地震などの異常な自然現象、あるいは人為的な原因による大きな事故、破壊行為により生ずる被害のことを指し、システムに甚大な被害が発生するか、電力などのライフラインの停止により、システムをそのまま現状に修復するのが困難な状態となる災害をいう。 |
||
| 稼働率 | 明示された利用条件の下で、システムが要求されたサービスを提供できる割合。 明示された利用条件とは、運用スケジュールや、目標復旧水準により定義された業務が稼働している条件を指す。その稼働時間の中で、サービス中断が発生した時間により稼働率を求める。 |
||
| 耐障害性 | サーバ | サーバで発生する障害に対して、要求されたサービスを維持するための要求。 | |
| 端末 | 端末で発生する障害に対して、要求されたサービスを維持するための要求。 | ||
| ネットワーク機器 | ルータやスイッチなどネットワークを構成する機器で発生する障害に対して、要求されたサービスを維持するための要求。 | ||
| ネットワーク | ネットワークの信頼性を向上させるための要求。 | ||
| ストレージ | ディスクアレイなどの外部記憶装置で発生する障害に対して、要求されたサービスを維持するための要求。 | ||
| データ | データの保護に対しての考え方。 | ||
| 災害対策 | システム | 地震、水害、テロ、火災などの大規模災害時の業務継続性を満たすための要求。 | |
| 外部保管データ | 地震、水害、テロ、火災などの大規模災害発生により被災した場合に備え、データ・プログラムを運用サイトと別の場所へ保管するなどの要求。 | ||
| 付帯設備 | 各種災害に対するシステムの付帯設備での要求。 | ||
| 回復性 | 復旧作業 | 業務停止を伴う障害が発生した際の復旧作業に必要な労力。 | |
| 可用性確認 | 可用性として要求された項目をどこまで確認するかの範囲。 | ||
| 性能・拡張性 | 業務処理量 | 通常時の業務量 | 性能・拡張性に影響を与える業務量。 該当システムの稼働時を想定し、合意する。 それぞれのメトリクスに於いて、単一の値だけでなく、前提となる時間帯や季節の特性なども考慮する。 |
| 業務量増大度 | システム稼動開始からライフサイクル終了までの間で、開始時点と業務量が最大になる時点の業務量の倍率。 必要に応じ、開始日の平均値や、開始後の定常状態との比較を行う場合もある。 |
||
| 保管期間 | システムが参照するデータのうち、OSやミドルウェアのログなどのシステム基盤が利用するデータに対する保管が必要な期間。 必要に応じて、データの種別毎に定める。 保管対象のデータを選択する際には、対象範囲についても決めておく。 |
||
| 性能目標値 | オンラインレスポンス | オンラインシステム利用時に要求されるレスポンス。 システム化する対象業務の特性をふまえ、どの程度のレスポンスが必要かについて確認する。ピーク特性や、障害時の運用を考慮し、通常時・ピーク時・縮退運転時毎に順守率を決める。具体的な数値は特定の機能またはシステム分類毎に決めておくことが望ましい。(例:Webシステムの参照系/更新系/一覧系など) |
|
| バッチレスポンス(ターンアラウンドタイム) | バッチシステム利用時に要求されるレスポンス。 システム化する対象業務の特性をふまえ、どの程度のレスポンス(ターンアラウンドタイム)が必要かについて確認する。更に、ピーク特性や、障害時の運用を考慮し、通常時・ピーク時・縮退運転時毎に順守率を決める、具体的な数値は特定の機能またはシステム分類毎に決めておくことが望ましい。 (例:日次処理/月次処理/年次処理など) |
||
| オンラインスループット | オンラインシステム利用時に要求されるスループット。 システム化する対象業務の特性をふまえ、単位時間にどれだけの量の作業ができるかを確認する。更に、ピーク特性や、障害時の運用を考慮し、通常時・ピーク時・縮退運転時毎に処理余裕率を決める、具体的な数値は特定の機能またはシステム分類毎に決めておくことが望ましい。 (例:データエントリ件数/時間、頁めくり回数/分、TPSなど) |
||
| バッチスループット | バッチシステム利用時に要求されるスループット。 システム化する対象業務の特性をふまえ、どの程度のスループットを確保すべきか確認する。更に、ピーク特性や、障害時の運用を考慮し、通常時・ピーク時・縮退運転時毎に処理余裕率を決める。具体的な数値は特定の機能またはシステム分類毎に決めておくことが望ましい。 (例:人事異動情報一括更新処理、一括メール送信処理など) |
||
| 帳票印刷能力 | 帳票印刷に要求されるスループット。 業務で必要な帳票の出力時期や枚数を考慮し、どの程度のスループットが必要かを確認する。 更に、ピーク特性や、障害時の運用を考慮し、通常時・ピーク時・縮退運転時毎に余裕率を決める。具体的な数値は特定の帳票や機能毎に決めておくことが望ましい。 |
||
| リソース拡張性 | CPU拡張性 | CPUの拡張性を確認するための項目。 システム運用開始時のCPU利用率とCPUスロットの空き具合から確認する。 CPU利用率が少ないほど拡張性はあるが、CPUのコストは高く、無駄が生じていることになる。 CPU搭載余裕有無は空きスロットの有無と空きスロット数を確認することで、拡張余力があるかどうかを示す。 |
|
| メモリ拡張性 | メモリの拡張性を確認するための項目。 システム運用開始時のメモリ利用率とメモリスロットの空き具合から確認する。 メモリ利用率が少ないほど拡張性はあるが、メモリのコストは高く、無駄が生じていることになる。 メモリ搭載余裕有無は空きスロットの有無と空きスロット数を確認することで、拡張余力があるかどうかを示す。 |
||
| ディスク拡張性 | ディスクの拡張性を確認するための項目。 システム運用開始時のディスク利用率とディスク増設スロットの空き具合から確認する。 ディスク利用率が少ないほど拡張性はあるが、ディスクのコストは高く、無駄が生じていることになる。 ディスク搭載余裕有無は空きスロットの有無と空きスロット数を確認することで、拡張余力があるかどうかを示す。ディスクは内蔵ディスクが不足しても外部増設が可能であり、CPUやメモリより拡張性は高い。 |
||
| ネットワーク | システムで使用するネットワーク環境の拡張性に関する項目。 既存のネットワーク機器を活用する場合は既存ネットワークの要件を確認するために利用する。 ネットワークの帯域については「B.4.1 帯域保証機能の有無」で確認する。 |
||
| サーバ処理能力増強 | サーバ処理能力増強方法に関する項目。 将来の業務量増大に備える方法(スケールアップ/スケールアウト)をあらかじめ考慮しておくこと。どちらの方法を選択するかはシステムの特徴によって使い分けることが必要。 スケールアップは、より処理能力の大きなサーバとの入れ替えを行うことで処理能力の増強を行う。 スケールアウトは同等のサーバを複数台用意し、サーバ台数を増やすことで処理能力の増強を行う。 |
||
| 性能品質保証 | 帯域保証機能の有無 | ネットワークのサービス品質を保証する機能の導入要否およびその程度。 伝送遅延時間、パケット損失率、帯域幅をなんらかの仕組みで決めているかを示す。回線の帯域が保証されていない場合性能悪化につながることが多い。 |
|
| 性能テスト | 構築したシステムが当初/ライフサイクルに渡っての性能を発揮できるかのテストの測定頻度と範囲。 | ||
| スパイク負荷対応 | 通常時の負荷と比較して、非常に大きな負荷が短時間に現れることを指す。業務量の想定されたピークを超えた状態。 特にB2Cシステムなどクライアント数を制限できないシステムで発生する。システムの処理上限を超えることが多いため、Sorry動作を実装し対策する場合が多い。 |
||
| 運用・保守性 | 通常運用 | 運用時間 | システム運用を行う時間。利用者やシステム管理者に対してサービスを提供するために、システムを稼動させ、オンライン処理やバッチ処理を実行している時間帯のこと。 |
| バックアップ | システムが利用するデータのバックアップに関する項目。 | ||
| 運用監視 | システム全体、あるいはそれを構成するハードウェア・ソフトウェア(業務アプリケーションを含む)に対する監視に関する項目。 セキュリティ監視については本項目には含めない。「E.7.1 不正監視」で別途検討すること。 |
||
| 時刻同期 | システムを構成する機器の時刻同期に関する項目。 | ||
| 保守運用 | 計画停止 | 点検作業や領域拡張、デフラグ、マスターデータのメンテナンス等、システムの保守作業の実施を目的とした、事前計画済みのサービス停止に関する項目。 | |
| 運用負荷削減 | 保守運用に関する作業負荷を削減するための設計に関する項目。 | ||
| パッチ適用ポリシー | パッチ情報の展開とパッチ適用のポリシーに関する項目。 | ||
| 活性保守 | サービス停止の必要がない活性保守が可能なコンポーネントの範囲。 | ||
| 定期保守頻度 | システムの保全のために必要なハードウェアまたはソフトウェアの定期保守作業の頻度。 | ||
| 予防保守レベル | システム構成部材が故障に至る前に予兆を検出し、事前交換などの対応をとる保守。 | ||
| 障害時運用 | 復旧作業 | 業務停止を伴う障害が発生した際の復旧作業に必要な労力。 | |
| 障害復旧自動化の範囲 | 障害復旧に関するオペレーションを自動化する範囲に関する項目。 | ||
| システム異常検知時の対応 | システムの異常を検知した際のベンダ側対応についての項目。 | ||
| 交換用部材の確保 | 障害の発生したコンポーネントに対する交換部材の確保方法。 | ||
| 運用環境 | 開発用環境の設置 | ユーザがシステムに対する開発作業を実施する目的で導入する環境についての項目。 | |
| 試験用環境の設置 | ユーザがシステムの動作を試験する目的で導入する環境についての項目。 | ||
| マニュアル準備レベル | 運用のためのマニュアルの準備のレベル。 | ||
| リモートオペレーション | システムの設置環境とは離れた環境からのネットワークを介した監視や操作の可否を定義する項目。 | ||
| 外部システム接続 | システムの運用に影響する外部システムとの接続の有無に関する項目。 | ||
| サポート体制 | 保守契約(ハードウェア) | 保守が必要な対象ハードウェアの範囲。 | |
| 保守契約(ソフトウェア) | 保守が必要な対象ソフトウェアの範囲。 | ||
| ライフサイクル期間 | 運用保守の対応期間および、実際にシステムが稼動するライフサイクルの期間。 | ||
| メンテナンス作業役割分担 | メンテナンス作業に対するユーザ/ベンダの役割分担、配置人数に関する項目。 | ||
| 一次対応役割分担 | 一次対応のユーザ/ベンダの役割分担、一次対応の対応時間、配備人数。 | ||
| サポート要員 | サポート体制に組み入れる要員の人数や対応時間、スキルレベルに関する項目。 | ||
| 導入サポート | システム導入時の特別対応期間の有無および期間。 | ||
| オペレーション訓練 | オペレーション訓練実施に関する項目。 | ||
| 定期報告会 | 保守に関する定期報告会の開催の要否。 | ||
| その他の運用管理方針 | 内部統制対応 | IT運用プロセスの内部統制対応を行うかどうかに関する項目。 | |
| サービスデスク | ユーザの問合せに対して単一の窓口機能を提供するかどうかに関する項目。 | ||
| インシデント管理 | 業務を停止させるインシデントを迅速に回復させるプロセスを実施するかどうかに関する項目。 | ||
| 問題管理 | インシデントの根本原因を追究し、可能であれば取り除くための処置を講じるプロセスを実施するかどうかに関する項目。 | ||
| 構成管理 | ハードウェアやソフトウェアなどのIT環境の構成を適切に管理するためのプロセスを実施するかどうかに関する項目。 | ||
| 変更管理 | IT環境に対する変更を効率的に管理するためのプロセスを実施するかどうかに関する項目。 | ||
| リリース管理 | ソフトウェア、ハードウェア、ITサービスに対する実装を管理するためのプロセスを実施するかどうかに関する項目。 | ||
| 移行性 | 移行時期 | 移行のスケジュール | 移行作業計画から本稼働までのシステム移行期間、システム停止可能日時、並行稼働の有無。(例外発生時の切り戻し時間や事前バックアップの時間等も含むこと。) |
| 移行方式 | システム展開方式 | システムの移行および新規展開時に多段階による展開方式をどの程度採用するかの程度。 | |
| 移行対象(機器) | 移行設備 | 移行前のシステムで使用していた設備において、新システムで新たな設備に入れ替え対象となる移行対象設備の内容。 | |
| 移行対象(データ) | 移行データ量 | 旧システム上で移行の必要がある業務データの量(プログラムを含む)。 | |
| 移行媒体 | 移行対象となる媒体の量と移行時に必要となる媒体種類数。 | ||
| 変換対象(DBなど) | 変換対象となるデータの量とツールの複雑度(変換ルール数)。 | ||
| 移行計画 | 移行作業分担 | 移行作業の作業分担。 | |
| リハーサル | 移行のリハーサル(移行中の障害を想定したリハーサルを含む)。 | ||
| トラブル対処 | 移行中のトラブル時の対応体制や対応プラン等の内容。 | ||
| セキュリティ | 前提条件・制約条件 | 情報セキュリティに関するコンプライアンス | ユーザが順守すべき情報セキュリティに関する組織規程やルール、法令、ガイドライン等が存在するかどうかを確認するための項目。 なお、順守すべき規程等が存在する場合は、規定されている内容と矛盾が生じないよう対策を検討する。 例) ・情報セキュリティポリシー ・不正アクセス禁止法 ・個人情報保護法 ・電子署名法 ・プロバイダ責任法 ・特定電子メール送信適正化法 ・SOX法 ・IT基本法 ・ISO/IEC27000系 ・政府機関の情報セキュリティ対策のための統一基準 ・FISMA ・FISC ・PCI DSS ・プライバシーマーク ・TRUSTe など |
| セキュリティリスク分析 | セキュリティリスク分析 | システム開発を実施する中で、どの範囲で対象システムの脅威を洗い出し、影響の分析を実施するかの方針を確認するための項目。 なお、適切な範囲を設定するためには、資産の洗い出しやデータのライフサイクルの確認等を行う必要がある。 また、洗い出した脅威に対して、対策する範囲を検討する。 |
|
| セキュリティ診断 | セキュリティ診断 | 対象システムや、各種ドキュメント(設計書や環境定義書、実装済みソフトウェアのソースコードなど)に対して、セキュリティに特化した各種試験や検査の実施の有無を確認するための項目。 | |
| セキュリティリスク管理 | セキュリティリスクの見直し | 対象システムにおいて、運用開始後に新たに発見された脅威の洗い出しとその影響の分析をどの範囲で実施するかを確認するための項目。 セキュリティリスクの見直しには、セキュリティホールや脆弱性、新たな脅威の調査等が含まれる。 |
|
| セキュリティリスク対策の見直し | 対象システムにおいて、運用開始後に発見された脅威に対する対策の方針を確認するための項目。 また、検討するにあたり、発見された脅威についての対応範囲について明らかにする。 |
||
| セキュリティパッチ適用 | 対象システムの脆弱性等に対応するためのセキュリティパッチ適用に関する適用範囲、方針および適用のタイミングを確認するための項目。 これらのセキュリティパッチには、ウィルス定義ファイル等を含む。 また、セキュリティパッチの適用範囲は、OS、ミドルウェア等毎に確認する必要があり、これらセキュリティパッチの適用を検討する際には、システム全体への影響を確認し、パッチ適用の可否を判断する必要がある。 なお、影響の確認等については保守契約の内容として明記されることが望ましい。 |
||
| アクセス・利用制限 | 認証機能 | 資産を利用する主体(利用者や機器等)を識別するための認証を実施するか、また、どの程度実施するのかを確認するための項目。 複数回の認証を実施することにより、抑止効果を高めることができる。 なお、認証するための方式としては、ID/パスワードによる認証や、ICカード等を用いた認証等がある。 |
|
| 利用制限 | 認証された主体(利用者や機器など)に対して、資産の利用等を、ソフトウェアやハードウェアにより制限するか確認するための項目。 例) ドアや保管庫の施錠、USBやCD-RWやキーボードなどの入出力デバイスの制限、コマンド実行制限など。 |
||
| 管理方法 | 認証に必要な情報(例えば、 ID/パスワード、指紋、虹彩、静脈など、主体を一意に特定する情報)の追加、更新、削除等のルール策定を実施するかを確認するための項目。 | ||
| データの秘匿 | データ暗号化 | 機密性のあるデータを、伝送時や蓄積時に秘匿するための暗号化を実施するかを確認するための項目。 | |
| 不正追跡・監視 | 不正監視 | 不正行為を検知するために、それらの不正について監視する範囲や、監視の記録を保存する量や期間を確認するための項目。 なお、どのようなログを取得する必要があるかは、実現するシステムやサービスに応じて決定する必要がある。 また、ログを取得する場合には、不正監視対象と併せて、取得したログのうち、確認する範囲を定める必要がある。 |
|
| データ検証 | 情報が正しく処理されて保存されていることを証明可能とし、情報の改ざんを検知するための仕組みとしてデジタル署名を導入するかを確認するための項目。 | ||
| ネットワーク対策 | ネットワーク制御 | 不正な通信を遮断するための制御を実施するかを確認するための項目。 | |
| 不正検知 | ネットワーク上において、不正追跡・監視を実施し、システム内の不正行為や、不正通信を検知する範囲を確認するための項目。 | ||
| サービス停止攻撃の回避 | ネットワークへの攻撃による輻輳についての対策を実施するかを確認するための項目。 | ||
| マルウェア対策 | マルウェア対策 | マルウェア(ウィルス、ワーム、ボット等)の感染を防止する、マルウェア対策の実施範囲やチェックタイミングを確認するための項目。 対策を実施する場合には、ウィルス定義ファイルの更新方法やタイミングについても検討し、常に最新の状態となるようにする必要がある。 |
|
| Web対策 | Web実装対策 | Webアプリケーション特有の脅威、脆弱性に関する対策を実施するかを確認するための項目。 | |
| システム環境・エコロジー | システム制約/前提条件 | 構築時の制約条件 | 構築時の制約となる社内基準や法令、各地方自治体の条例などの制約が存在しているかの項目。 例) ・J-SOX法 ・ISO/IEC27000系 ・政府機関の情報セキュリティ対策のための統一基準 ・FISC ・プライバシーマーク ・構築実装場所の制限 など |
| 運用時の制約条件 | 運用時の制約となる社内基準や法令、各地方自治体の条例などの制約が存在しているかの項目。 例) ・J-SOX法 ・ISO/IEC27000系 ・政府機関の情報セキュリティ対策のための統一基準 ・FISC ・プライバシーマーク ・リモートからの運用の可否 など |
||
| システム特性 | ユーザ数 | システムを使用する利用者(エンドユーザ)の人数。 | |
| クライアント数 | システムで使用され、管理しなければいけないクライアントの数。 | ||
| 拠点数 | システムが稼働する拠点の数。 | ||
| 地域的広がり | システムが稼働する地域的な広がり。 | ||
| 特定製品指定 | ユーザの指定によるオープンソース製品や第三者製品(ISV/IHV)などの採用の有無を確認する項目。採用によりサポート難易度への影響があるかの視点で確認を行う。 | ||
| システム利用範囲 | システム利用者が属する属性の広がり。 | ||
| 複数言語対応 | システム構築の上で使用が必要、またはサービスとして提供しなければならない言語。扱わなければならない言語の数や各言語スキル保持者へのアクセシビリティを考慮。 | ||
| 適合規格 | 製品安全規格 | 提供するシステムに使用する製品について、UL60950などの製品安全規格を取得していることを要求されているかを確認する項目。 | |
| 環境保護 | 提供するシステムに使用する製品について、RoHS指令などの特定有害物質の使用制限についての規格の取得を要求されているかを確認する項目。 | ||
| 電磁干渉 | 提供するシステムに使用する製品について、VCCIなどの機器自身が放射する電磁波をある一定以下のレベルに抑える規格を取得していることを要求されているかを確認する項目。 | ||
| 機材設置環境条件 | 耐震/免震 | 地震発生時にシステム設置環境で耐える必要のある実効的な最大震度を規定。建屋が揺れを減衰するなどの工夫により、外部は震度7超でも設置環境では実効的に最大震度4程度になる場合には震度4よりレベルを設定する。なお、想定以上の揺れではサービスを継続しないでも良い場合には、その想定震度でレベルを設定する。 | |
| スペース | どの程度の床面積(WxD)/高さが必要かの項目。保守作業用スペースについても考慮する。また、移行時には新旧システムが並行稼働可能なスペースの確保が可能か否かについても確認が必要である。可能であれば事前確認を実施する。 | ||
| 重量 | 建物の床荷重を考慮した設置設計が必要となることを確認する項目。低い床荷重の場合ほど、設置のための対策が必要となる可能性が高い。 | ||
| 電気設備適合性 | ユーザが提供する設置場所の電源条件(電源電圧/電流/周波数/相数/系統数/無停止性/必要工事規模など)と導入システムの適合性に関する項目。同時に空調についても評価対象とする。また、移行時の並行稼動が可能か否かについても確認が必要である。可能であれば事前確認を実施する。 | ||
| 温度(帯域) | システムが稼働すべき環境温度の帯域条件。 周囲環境によってはシステムを正常稼動させるには特別な対策が必要となることがある。 |
||
| 湿度(帯域) | システムが稼働すべき環境湿度の帯域条件。 周囲環境によってはシステムを正常稼動させるには特別な対策が必要となることがある。 |
||
| 空調性能 | システムを稼働させるのに十分な冷却能力を保持し、特定のホットスポットが存在する場合にはそれを考慮した冷気供給を行える能力。 | ||
| 環境マネージメント | 環境負荷を抑える工夫 | 環境負荷を最小化する工夫の度合いの項目。 例えば、グリーン購入法適合製品の購入など、環境負荷の少ない機材・消耗品を採用する。 また、ライフサイクルを通じた廃棄材の最小化の検討を行う。例えば、拡張の際に既設機材の廃棄が不要で、必要な部材の増設、入れ替えのみで対応可能な機材を採用するなどである。また、ライフサイクルが長い機材ほど廃棄材は少ないと解釈できる。 |
|
| エネルギー消費効率 | 本来はシステムの仕事量をそのエネルギー消費量で除した単位エネルギー当りの仕事量のこと。ただし、汎用的な仕事量の定義が存在しないため、効率を直接求めることは困難である。また、同じ仕事を行う別のシステムも存在しないことが多いため、比較自体も困難である。このため、エネルギー消費効率に関しては、少し視点を変えて、ユーザからの目標値の提示の有無などでレベル化を行っている。なお、電力エネルギーを前提とするシステムでは、消費電力≒発熱量である。 また、システムの仕事量の視点ではなく、データセンターのエネルギー効率を示す指標にPUE(Power Usage Effectiveness)や、DPPE(Datacenter Performance Per Energy)などがある。 |
||
| CO2排出量 | システムのライフサイクルを通じて排出されるCO2の量。ただし、単純なCO2排出量でレベル化するのは困難であるため、少し視点を変えて、ユーザからの目標値の提示の有無などでレベル化を行っている。 | ||
| 低騒音 | 機器から発生する騒音の低さの項目。特にオフィス設置の場合などには要求度が高くなる傾向がある。また、データセンターなどに設置する場合でも一定以上の騒音の発生は労働環境として問題となることがある。 | ||
2014年5月8日木曜日
インフラ:非機能要件について
