ITベンダーが考えるURSとは

URS（User Requirements Specification：ユーザ要求仕様書）

URS*は細かく記載すればそれだけ精度は高まりますが、ちょっとした仕様変更でもURS*から修正するのは、CSV*の観点から大変です。これまでのシステム開発ではウォーターフォール開発がメインでしたので、すべての仕様が順次決定されていきました。しかし、現在のシステム開発は、開発手法の変化やパッケージ・クラウド（SaaS、PaaS、IaaS）の活用など、ユーザーの利用直前に柔軟に内容変更できる環境が整ってきています。

こういうことも踏まえると、URSに遡って変更管理に載せて検討することは大変なことです。ですから、このページに記載されている内容をそのままURSにすればいいと言うことではありません。御社の中でセレクションしていただき、必要で十分なURSの作成のお役に立てればと思います。

弊社の推奨としては本当に必達（必要）な要件は記載して、開発途中に変更の可能性があるものは、幅をもたせて記載することが賢い方法ではないかと考えています。ただ、後々のDQ*でのTMX*で利用されますので、記載のメッシュは十分な検討が必要だと思います。また、ITベンダーにユーザー要件を伝えるだけであれば、RFPという方法もありますので、併用することをお勧めします。

*
URS（User Requirements Specification：ユーザ要求仕様書）
CSV（Computerized System Validation：コンピュータシステムバリデーション）
DQ（Design Qualification：設計時適格性評価）
TMX（Traceability matrix：トレーサビリティマトリクス）
RFP（Request for proposal：提案依頼書）

セキュリティ
①パスワード

パスワードの6桁以上であること。
パスワードに含む数字の個数が1つ以上であること。
パスワードに含むアルファベットの個数が1つ以上であること。
パスワードに含む大文字小文字を混在させること。
パスワードは設定回数までは再利用できないこと。
パスワードの有効期限は3ヶ月以内（90日）とする。
ユーザがパスワードを間違った際、3回以上の場合アカウントがロックすること。
ロックの解除は管理者のみが行えること。
一定時間（5分間）使用しない場合、自動的にシステムから切断されること。
パスワードは管理者でも把握できないようにする。
パスワード管理は管理者のみが行えること。

SLA
Service Level Agreement　サービスレベルアグリーメント

1. サービス時間
   サービス時間　　｜サービスを提供する時間帯（設置やネツトワーク等の点検／保守のための計画停止時間の記述)
   計画停止予定通知｜定期的な保守停止に関する事前連絡確認(事前通知のタイミング／方法の記述を含む)
2. 可用性
   サービス稼働率　　　｜サービスを利用できる確率( (計画サービス時間一停止時間) ÷計画サービス時間)
   ディザスタリカバリ　｜災害発生時のシステム復旧／サポート体制
   重大障害時の代替手段｜早期復旧が不可能な場合の代替措置
   アップグレード方針　｜バージョンアップ／変更管理／パッチ管理の方針
3. 信頼性
   平均復旧時間　　｜障害発生から修理完了までの平均時間(修理時間の和÷故障回数)
   システム監視基準｜システム監視基準(監視内容／監視・通知基準)の設定に基づく監視
   障害通知プロセス｜障害発生時の連絡プロセス(通知先／方法／ 経路)
   障害通知時間　　｜異常検出後に指定された連絡先に通知するまでの時間
   障害監視間隔　　｜障害インシデントを収集／集計する時間間隔
   サービス提供状況の報告方法／間隔 サービス提供状況を報告する方法／時間間隔
   ログの取得　　　｜利用者に提供可能なログの種類(アクセスログ、操作ログ、エラーログ等)
   データ保証の要件｜バックアップ内容(回数、復旧方法など)、データ保管場所／形式、利用者のデータへのアクセス権など、利用者に所有権のあるデータの取扱方法
   バックアップデータの保存期間｜データをバックアップした媒体を保管する期限
   データ消去の要件｜サービス解約後の、データ消去の実施有無／ タイミング、保管媒体の破棄の実施有無／タイミング、及びデータ移行など、利用者に所有権のあるデータの消去方法
4. サポート
   サービス提供時間帯(障害対応)　｜障害対応時の問合せ受付業務を実施する時間帯
   サービス提供時間帯(一般問合せ)｜一般問合せ時の問合せ受付業務を実施する時間帯
5. 性能基準
   オンライン応答時間｜オンライン処理の応答時間
   パッチ処理時間　　｜バッチ処理(一括処理)の応答時間
   カスタマイズ性　　｜カスタマイズが可能な事項、分量、仕様等の条件について規程し、カスタマイズに必要な情報を開示していること。
   外部接続性　　　　｜外部システム接続仕様( API、開発言語など) が公開されていること。
   同時接続ユーザ数　｜オンラインユーザが同時に接続してサ-ビスを利用することができるユーザ数を運用ルールに規程していること
6. セキュリティ
   公的認証取得の要件｜JIPDECやJQA等で認定している情報処理管理に関する公的認証(ISMS、プライバシーマーク等)が取得されていること。
   アプリケーションに関する第三者評価｜不正な侵入、操作、データ取得等への対策について、第三者の客観的な評価を得ていること。
   情報取扱者の制限　｜ユーザのデータにアクセスできる利用者の限定されていること。
   情報取扱い環境　　｜べンダ側でのデータ取扱環境が適切に確保されていること。
   通信の暗号化レベル｜システムとやりとりされる通信の暗号化強度。

民間向け IT システムの SLA ガイドライン-追補版:SaaS 対応編
社団法人 電子情報技術産業協会 ソリューションサービス事業委員会 SLA/SLM 専門委員会