総務省は4月28日,電子政府・電子自治体のシステムを支えるOSの選定基準について提言する報告書の内容を公開した。2003年6月~2004年3月に実施した「セキュアOSに関する調査研究会」の活動成果である。報告書の内容は,当初計画していたOSの“格付け”は含まず,「研究会のメンバーの総意として合意できる内容にとどめた」(総務省 情報通信政策局 情報セキュリティ対策室 課長補佐 高村信氏)。企業の情報システムで利用する場合の,OS選定の参考になるチェック・リストなどが含まれている。
研究会では当初,典型的なモデル・システムを前提に,(1)ソースコードの開示可能性,(2)セキュリティ強度,(3)運用容易性,(4)構築・保守費--などの観点で,主要な商用OSと無償配布されるオープンソースOSを評価し,格付けすることを視野に入れていた。
だが,OSを格付けする計画は,次の3つの理由でとん挫した。第1に,モデル・ケースがあるとはいえ,システムの実装を考慮せずに最適なOSを選定するのは困難なこと。第2に,OSの設定変更やOSに対するオプションの追加で,セキュリティ強度や運用容易性が大きく変わり,OS単体の“格付け”が現実味を欠くこと。第3に,調達したシステムのセキュリティを維持するには,OS単体の優劣を比べて選定するよりも,メーカーのサポート切れなどを考慮した保守・運用体制をどう整備するかの方が重要であること--。研究会の席上や,数回にわたってメンバーに提出してもらったアンケートを通じ,こうした意見が多く寄せられたため,格付けは断念した。
結果として報告書では,「OSの種類を実質限定した上での調達は不適当」と判断。代わりに「総合評価方式の競争入札を実施することが適当」と結論付けた。総合評価の指針として,システムに求められる機能や品質に関するチェック・リストを用意した。調達の担当者は,それらを重み付けし,適合度合いを評価すればいい。また,商用OSとオープンソースOSの両方において,製造業者やSI業者との間で結ぶ保守契約を必須とした。システムの使用期間全体を通じて信頼性を維持するためである。保守契約には,サポートの提供義務を盛り込むべきと言及する。
研究会の活動は報告書の提出で終了したが,総務省では今後,財源が確保され,ベンダーの協力が得られれば,商用OSやオープンソースOSを「ソースコード・レベルで分析・評価し,セキュリティの観点でOSを見たときの出来/不出来を示すことも検討したい」(総務省の高村氏)という。
