ISO/SAE 21434 悶悶

@名古屋ではなく愛知県

レビュー

目的

  1. 文書を取り扱う後工程すべての総工数を最小にする。
  2. 人間同士によるレビューにより、人間関係を悪くするのを防ぐ。
  3. 同僚によるレビューを受ける前に、個々人のレビューで推敲する。
  4. 将来的にはツールによって自動化したい。

注記:文書における後工程とは、以下を指す。

  • 読者(例:設計者、開発者、評価者、試験者)
  • レビューワ
  • 英訳者
  • アセッサ/監査者
  • 文書を維持する者

適用範囲

サイバーセキュリティに関するプロセス文書及び作業成果物

推敲ルール

体裁

文書の体裁

すべての文書において記載するもの

要素 注記
文書作成組織 すべての頁に書くのが望ましい。
作成者,照査者,承認者 電子決裁により省略してもよい。
秘密表示 組織の機密管理のルールに従う。すべての頁に書く。
文書ID 文書を特定するため。組織のルールに従って採番する。人間が付与するのは工数がムダなので、文書システムの登録時や電子決裁時に自動採番するのが望ましい。
開示範囲 なるべく具体的に定義する。
発行年月日  
版数 組織のルールに従って、バリエーション/メジャーバージョンアップ/マイナーバージョンアップする。
目的  
適用範囲 この文書を当てはめるものを示す。
文書の種類 Policy, Standard, Procedure, Requirement Specification, Test Specification, ... etc.
ページ数  
変更履歴  

記載しないほうがよいもの

要素 注記
用語定義 公開されている規格を参照する。文書のメンテナンス性と可読性が下がる。文書単独では単独では定義しない。

文の体裁

置換前 置換後 注記
全角英数字, 漢数字 半角英数字 例外:1文字のみなら全角でもよい。
斜体 標準体 斜体は外国語のためにある。
3色以上の色づかい 2色以内 色はむずかしい。極力つかわない。
引用文書 『引用文書』 引用文書の名称を二重鉤括弧で囲む。
常用外の漢字 常用漢字 専門用語は例外として常用外のものを用いてもよい。

Excelの体裁

置換前 置換後 注記
セルの結合 枠線を消す 結合はしない。コピー&ペーストがしにくくなる。
枠線を二重線にする 枠線は単線のみ コピー&ペーストがしにくくなる。
枠線を破線にする 枠線は実線のみ コピー&ペーストがしにくくなる。
1行目の空行, 1列目の空列 削除  
記入の順番が上下左右にホッピングしている 記入の順番は上→下 or 左→右に統一  
デフォルトが無効の条件書式 デフォルトが有効の条件書式 後任者が気づけないのはだめ。

文体

置換前 置換後 注記
長文 複数の短文 目安は60文字以内
受動態 能動態  
否定文 肯定文  
二重否定文 肯定文  
疑問文 平叙文  
感動文 平叙文  
命令文 平叙文  
条件文(If A, then B.) 平叙文(A'をB'する。)  
主語を省略する。 文頭に主語を書く。 英語に翻訳しやすいように
一文に複数の主語 一文にひとつの主語
複数の情報がある ひとつの情報に絞る ワンセンテンス・ワンメッセージ|
文内に同じ用語が連続 ほかの単語に置き換える  
文書内に同じ用語の漢字/ひらがなが混在 統一する 文部科学省語例集』に従う。
文書内に同じ用語の複数の送り仮名が混在 統一する

用語

形容詞

なるべくつかわない。

接続詞

置換前 置換後 注記
ならびに, および かつ
「はいずれも」で補足
AND/ORが重要な文ではつかわない。
もしくは, あるいは または
「のいずれか」で補足
長いAND/OR文   箇条書き3つ以上の並列は箇条書き
並列/逆接ではない接続詞 つかわない 削れる接続詞はすべて削る。

助動詞

置換前 置換後 注記
○○すること。(要求) ○○する。(shall) 体言止めは箇条書きのみ
○○するものとする。
○○することとする。
(やわらかい義務)
○○する。(shall)
○○しなければならない。(must)
創設的な要求は「○○する。」にする。
○○しなければならない。
(強い義務)
二重否定のためなるべく避ける。ただし、法令や上位文章による要求には、「○○する」は用いない。
  • shallは意味が広いため、誤訳が生じやすい。(例:「Aさんは、Bについて、認可する(推定)」をBの受動態(shall be)にしたとき、Bは必ず認可されると読み取れる。)誤訳を避けるため、必要に応じてmustを用いる。

助詞

  • 「は」はすでにわかっていること、「が」はわかっていないことにつかう。
  • 「へ」は曖昧になりやすいので、なるべく「に」にする。

動詞

置換前 置換後 注記
○○を実施する
○○を行う
○○する 9割は置き換えられる。
状態動詞による命令文(例:〇〇を記載する) 動作動詞による命令文(例:〇〇を記入する, 〇〇を書く) 記載は結果動詞なので、ここでは様態動詞が適切である。
考える, 思う つかわない  

修飾詞

置換前 置換後 注記
急, 激, 極 つかわない 定量的でない。定量化できないなら避けるべき。
○○的 つかわない  
の場合 のとき 場合は強い条件文になるので英訳がif文になりやすい。一方でときは平叙文にしやすい。

名詞

置換前 置換後 注記
上記, 下記 以上, 以下, 次のように 例外:稟議書ではつかってよい。
結果報告書 結果, 報告書 翻訳しにくい。
標準 つかわない starndardは国際標準等にも用いられるため翻訳しにくい。
障害 故障, 傷害, 損害 負のイメージがあるのでつかわない。
○○要求を○○要求仕様書に記載する。 作業要領と作業成果物とを分離する。 「○○書」という言葉は翻訳できない。
このため、文で同じ言葉が2度登場する。

サイバーセキュリティ特有のルール

置換前 置換後 注記
管理 マネジメント 管理はcontrolの和訳であるため。
項目 一覧, 手順 , 工程 itemと翻訳すると、リスクアセスメントの用語と重なる。
例外:試験項目の"test case"のように、itemにならないなら可
想定外 避ける トップダウンアプローチでは禁句
対策 なるべく避ける 英語ではあまり使われないため。最も近い英単語はcontrol
対処, 処置 対応 対応に統一する。
リスクがない リスクが低い リスクの絶対値は0にはならない。

論理的思考

*フレームワークを適用したときに、MECEになっているか?

参考文献