皆さんはセキュリティ・バイ・デザインという考え方をご存じでしょうか?
とあるセミナーでセキュリティ・バイ・デザインという考え方を学ぶことができましたので、簡単ですがご紹介しようと思います。
セキュリティ・バイ・デザインとは
皆さんのセキュリティ対策は、開発のどの段階で実施していますでしょうか。
私の感覚ですが、アプリのおおよその機能が付いた後に、「あとはセキュリティ対策をするか」という感じで対策していくと思います。
このセキュリティ・バイ・デザインは、設計段階でセキュリティ要件やセキュリティ設計をするというものです。
では、なぜ設計段階で実施するのでしょうか。 メリット・デメリットを交え説明したいと思います。
メリット
・設計段階から検討されるので手戻りが少なくコスト削減につながる
・開発初期から考慮されるので保守性の向上につながる
セキュリティ対策もシステム開発と同じで、工程が進むほど手戻りが必要になった場合の工数が大きくなってしまいますので、設計段階から検討することが重要となります。また、設計段階から考慮されていれば保守性も向上しコスト削減にもつながります。始めるハードルは高いかもしれませんが取り組むメリットは十分にあると思います。
デメリット
・歴史が浅いので確立されたプロセスが少なく始めづらい
・セキュリティに関する幅広い知識が求められるので、人材の確保が難しい
あるセミナーでインフラ関連の人材は、バックエンド・フロントエンドエンジニアに比べて少ないと説明がありました。人材の確保ができない、確立したプロセスが少ない状況で対応することは困難ですが、できることから始めることは可能だと思います。
スモールスタートの推奨
メリット・デメリットを把握しても、実際に始めるにはハードルが高いと思います。
そこで紹介されていた方法が、まずは自社で取り組んでいるセキュリティ対策のレビューから始めるということです。このレビューを通して、セキュリティ対策の判断基準を明確にし設計段階への適用を目指すというものです。
最初は重要なセキュリティ対策だけに絞り、まずは実践してみることが重要です。その後、プロセスの自動化や高度化につなげていく流れになります。
まとめ
内閣サイバーセキュリティセンターで公開されているセキュリティ要件にも、このセキュリティ・バイ・デザインの考え方が採用されています。(政府機関対策関連 - NISC)
KENTEMもソフトウェアベンダーとして、内閣サイバーセキュリティセンターで公開されているクラウドサービスの基本的なセキュリティ対策を参考に取り組んでいく必要があると感じています。 デメリットにもある通り人材の確保やプロセスの確立など課題は多くありますが、取り組むメリットは大いにあると思います。
皆さんもセキュリティ対策について、検討してみてはいかがでしょうか。
おわりに
KENTEMでは、様々な拠点でエンジニアを大募集しています! 建設×ITにご興味頂いた方は、是非下記のリンクからご応募ください。 recruit.kentem.jp career.kentem.jp
