ITを俯瞰する  ·  2023/08/26

    「情報セキュリティ白書 2023」から今を読む ~IT導入におけるセキュリティ設計の課題~

    松田 幸裕 記

    7月にIPA(情報処理推進機構)より、「情報セキュリティ白書 2023」が公開されました。考慮すべき主なセキュリティリスクや、その対策などが丁寧に説明されていて、とても勉強になりますので、ぜひお読みいただくことをお勧めします。

    本白書を読んでいる中で、ふと「セキュリティ・バイ・デザイン」というキーワードが目に入りました。本白書で中心的に扱われているキーワードではありませんが、IT導入に携わっている中でこのキーワードに関連する課題を多く感じるため、本投稿ではこのキーワードについて触れてみたいと思います。

    セキュリティ・バイ・デザインとは?

    セキュリティ・バイ・デザインとは、システムの企画・設計の段階からセキュリティ対策を講じる方法です。開発や導入を行ってから後付けでセキュリティ対策を行うのではなく、要件定義や設計などの各フェーズでセキュリティ対策をしっかり考えるというものです。

    このキーワードで私が思い出すのは、Windows XP/Vistaの時代におけるOS自体のセキュリティ強化です。この頃の情報がネット上から消えていっていますが、例えばこちらのページに関連する話が書かれています。Windows XPがリリースされた2001年頃は、セキュリティより機能重視で開発が行われていました。それから徐々にセキュリティの脅威が増していき、マイクロソフト社も2004年に公開されたWindows XP Service Pack 2で大幅にセキュリティ強化をしました。しかし、後付けでのセキュリティ強化に限界を感じたことから、「セキュアな設計(Secure by Design)」、「セキュアな初期設定(Secure by Default)」、「セキュアな展開(Secure by Deployment)」から構成される「Security Development Lifecycle(SDL)」という考え方を、2007年に発売されたWindows Vistaから取り入れました。

    今では「企画・設計の段階からセキュリティを考えるのは当たり前」という考えを持つ人は多いと思いますが、上記のような歴史を経て、このような考え方が浸透してきたと言えます。この考え方は開発の世界のみでなく、パッケージやSaaSのクラウドサービスを導入する際にも有効なため、本投稿ではセキュリティ・バイ・デザインを少し広義に捉えて話を進めます。

    セキュリティ・バイ・デザインは浸透しているのか?

    上で「企画・設計の段階からセキュリティを考えるのは当たり前」と書きましたが、実際にこの考え方が浸透しているかというと、そうとは思えない場面に遭遇することも多いです。

    私自身は現状、ITインフラや情報系システムの導入に深く関わることが多く、またパッケージやクラウドサービスを利用した業務システム導入の非機能要件定義にも関わることもあります。カスタム開発の世界でのセキュリティ・バイ・デザインとは少し考え方が異なると思いますが、導入に関わる中で強く感じるのは、「開発会社、構築会社の人たちは導入がゴールであり、セキュリティ対策の意識が薄い傾向にある」というものです。

    もちろん、要件定義や設計フェーズでセキュリティ関連の検討は行われます。しかし行われるのは「パスワードは何桁にしますか?」、「管理者の権限は誰に付与しますか?」など、どちらかというと設定をすることを目的としたヒアリングになることが多いと思います。これはセキュリティを意識しているのではなく、導入を意識していることになり、セキュリティ・バイ・デザインとは言えません。

    セキュリティ・バイ・デザインを浸透させるために

    先ほど「開発会社、構築会社の人たちは導入がゴールであり、セキュリティ対策の意識が薄い」と書きましたが、この意識は簡単には変わらないと思っています。ITに携わる一人ひとりがセキュリティの意識を今よりもう少し強く持つことで、IT導入の上流フェーズからセキュリティが意識され、効果的な対策へとつながるのですが、やはり「導入がゴール」の人たちがいるという点は受け入れなければいけないのかもしれません。

    そう考えると、ユーザー企業の情報システム部門の人たちが「導入がゴール」という意識にならないよう、IT導入の上流フェーズからセキュリティの観点で考慮すべきことを定義し、各プロジェクトにおいてそれを実践していく、という形が現実解なのではないかと思います。「このシステムで扱うそれぞれのデータの重要度は?」、「このシステムにまつわるセキュリティリスクは?」、「それぞれのセキュリティリスクへの対策は?」などの観点でテンプレート化し、それを各プロジェクトで活用していくというやり方であれば、さほど高度な知識なく実践できるのではないかと思っています。

    セキュリティ人材不足と言われていますが、ITに携わる一人ひとりがセキュリティの意識を今よりもう少し強く持ち、上記のような仕組みづくりをしていくことで、人材不足はかなり解消できるのではないかと思っています。できるところから少しずつ、改善していきましょう。

    <関連する投稿>