本付録は、統制・実装基準で使用する主要な証跡テンプレートを定義する。テンプレートは、証跡の粒度、責任者、鮮度、例外接続を統一するために使用する。
証跡契約テンプレート
| 項目 | 記載内容 |
|---|
| 契約ID | 証跡契約を一意に識別するID。 |
| System ID | 対象システム。 |
| Owner ID | システムオーナー。 |
| 対象分類 | Tier、External、AI/Data。 |
| Control ID | 対象統制目的。 |
| 対象資産 | Asset ID、環境、アカウント、データ、委託先。 |
| 証跡種別 | ログ、設定、スキャン、CI/CD、チケット、契約、監査報告など。 |
| Evidence Level | Level 1からLevel 4。 |
| 取得方法 | API、自動連携、手動アップロード、委託先提出など。 |
| 取得頻度 | 日次、週次、月次、四半期、イベント時。 |
| 鮮度SLA | 評価時点で許容される最大経過時間。 |
| 評価方法 | 自動判定、担当者レビュー、サンプリング、監査テスト。 |
| 保存期間 | 保存年数、削除条件、保管場所。 |
| 改ざん耐性 | 署名、ハッシュ、WORM、原本リンク、監査ログ。 |
| 例外条件 | 未取得、不合格、対象外、欠損時のException ID発行条件。 |
例外申請テンプレート
| 項目 | 記載内容 |
|---|
| Exception ID | 例外ID。 |
| 申請日 | 申請日。 |
| 申請者 | 申請者と所属。 |
| System ID | 対象システム。 |
| Control ID | 対象統制目的。 |
| 未達基準 | 統制基準、実装基準、証跡基準のいずれか。 |
| 例外理由 | 未達理由。 |
| 影響 | 機密性、完全性、可用性、法令、顧客、業務への影響。 |
| 代替統制 | 暫定策と期待する低減効果。 |
| 残余リスク | 代替統制後に残るリスク。 |
| 期限 | 解消予定日または再評価日。 |
| 恒久対応 | 解消、移行、廃止、代替継続、投資判断。 |
| 承認者 | 承認者。 |
| リスク受容者 | 残余リスクを受け入れる者。 |
| 経営報告 | 要否と理由。 |
アクセスレビューテンプレート
| 項目 | 記載内容 |
|---|
| レビューID | アクセスレビューID。 |
| System ID | 対象システム。 |
| 対象範囲 | 利用者、管理者、委託先ID、機械ID。 |
| 基準日 | 権限一覧の抽出日。 |
| レビュー責任者 | システムオーナーまたは委任者。 |
| 抽出元 | IdP、SaaS、DB、PAM、権限管理台帳。 |
| レビュー結果 | 継続、削除、変更、保留、例外。 |
| 削除期限 | 不要権限の削除期限。 |
| 削除証跡 | 削除ログ、チケット、承認履歴。 |
| 例外ID | 削除できない権限の例外ID。 |
復元試験テンプレート
| 項目 | 記載内容 |
|---|
| 試験ID | 復元試験ID。 |
| System ID | 対象システム。 |
| 対象データ | DB、ファイル、設定、システムイメージなど。 |
| RTO/RPO | 定義された復旧目標。 |
| 試験日 | 実施日。 |
| 実施者 | 実施責任者。 |
| 復元手順 | 使用した手順書または自動化手順。 |
| 結果 | 成功、失敗、部分成功。 |
| 実績 | 復旧時間、復旧時点、欠損、整合性確認。 |
| 問題点 | 失敗理由、手順不備、証跡不足。 |
| 改善計画 | 担当、期限、再試験要否。 |
委託先評価テンプレート
| 項目 | 記載内容 |
|---|
| Supplier ID | 委託先またはSaaSのID。 |
| 対象サービス | サービス名、契約範囲、業務範囲。 |
| System ID | 依存する社内システム。 |
| データ分類 | 扱うデータ種別。 |
| 責任分界 | 提供者、委託先、自社、再委託先の責任。 |
| 契約要求 | 通知義務、監査権、削除義務、再委託条件、SLA。 |
| 監査報告 | SOC、ISO、ISMAP、その他認証。 |
| アクセス範囲 | 委託先ID、サポートアクセス、特権権限。 |
| インシデント対応 | 通知期限、連絡先、共同調査、証跡提供。 |
| 終了処理 | データ返却、削除、アクセス停止、削除証明。 |
| 評価結果 | 承認、条件付き承認、不承認、例外。 |
リリース承認テンプレート
| 項目 | 記載内容 |
|---|
| リリースID | リリース識別子。 |
| System ID | 対象システム。 |
| 変更内容 | 機能、設定、依存関係、インフラ変更。 |
| 影響範囲 | 利用者、データ、外部連携、業務影響。 |
| セキュリティ確認 | 設計レビュー、SAST、SCA、DAST、シークレットスキャン。 |
| 未修正検出 | 未修正脆弱性、既知不備、例外ID。 |
| 承認者 | リリース承認者。 |
| ロールバック | 戻し手順、判断条件、担当者。 |
| ビルド証跡 | CI/CD結果、署名、アーティファクト、SBOM。 |
参考資料(出典)