セキュリティ・バイ・デザインは「上流工程」からセキュリティを確保すること
パソコンやスマートフォンはもちろん、自動車や小型のセンサーなど、いまやあらゆる端末がインターネットに接続できる時代となりました。その一方で、機密情報の漏洩やサイバー攻撃といったセキュリティリスクも高まっています。
そんな中、IPA(情報処理推進機構)は2022年8月に「セキュリティ・バイ・デザイン導入指南書」という資料を発表しました。
(※)情報処理推進機構「セキュリティ・バイ・デザイン導入指南書」
セキュリティ・バイ・デザインとは、情報セキュリティを製品やサービスの企画・設計の段階から確保するための考え方です。製品やサービスを作る上流工程にてセキュリティ対策を組み込むことを指します。これによって、開発の段階における手戻りの発生を抑えてコストを削減し、より保守性の良い成果物を作ることを狙っています。
セキュリティ・バイ・デザインが生まれた背景には、年間何百件と報告されているソフトウェア製品やウェブサイトの脆弱性にあります。脆弱性によってさまざまなセキュリティ関連のトラブルに見舞われるのであれば、開発に関わる全ての人が上流工程からセキュリティを意識し、脆弱性が生まれないように製品づくりに取り組めば、企業をはじめとするソフトウェア・システムの利⽤者をサイバー攻撃が守れる、というのがセキュリティ・バイ・デザインの考え方です。
セキュリティ・バイ・デザインで重要な3つのポイントとは
同資料では、セキュリティ・バイ・デザインをするうえではじめに取り組むべきポイントとして、「脅威分析(Threat Assessment)」、「セキュリティ要件(Security Requirements)」、「セキュリティアーキテクチャ(Security Architecture)」の3つを挙げています。この3つのポイントは、ソフトウェアのセキュリティ向上のための非営利団体「OWASP」が掲げる、ソフトウェアセキュリティ対策のための戦略の策定・実施を支援するフレームワーク「SAMM」にて推奨されているものです。
1つ目の「脅威分析」とは、ソフトウェアが直面する脅威や想定される攻撃を明らかにすること。そのソフトウェアがどのようなことから守るためのものなのか、ターゲットを明確にすることを指します。
2つ目の「セキュリティ要件」とは、システムを安全に運用するために必要となる目標で、ソフトウェアの安全な動作がどのようなものであるかを定義することを指します。
3つ目の「セキュリティアーキテクチャ」は、既存のフレームワークやデザインパターンを利用して開発することを推奨するものです。具体的には、自社のスタッフが⼿作業で作った新規のソースコードよりも、業界で広く普及している、信頼されたプラットフォームやライブラリが提供しているソースコードをカスタマイズして利用することを意味します。
脅威は自社のデータをどのように攻撃してくるか?「やらかしリスト」を作ろう
資料ではこの3つのセキュリティ対策について詳しく書かれていますが、本稿ではその中の「脅威分析」の一部を取り上げます。
「脅威分析」における「脅威」とは、セキュリティの分野においてリスクを発生させる要因のことです。脅威には大きく「内部要因」と「外部要因」の2つがあり、内部要因は自社の従業員や仕入れ先、下請け業者といったステークホルダー(利害関係者)が引き起こす脅威、外部要因は犯罪組織や産業スパイ、個人犯罪者など、外部から受けるサイバー攻撃がメインとなります。
脅威分析ではこの2つの要因から、自社が被害を受ける可能性がある脅威を選定し、どの脅威が自社にどのような危険をもたらすのか、攻撃のシナリオを作成します。
資料ではシナリオのサンプルとして、社内ネットワークに接続されている機器を調査して資産リストを作成するツール「ネットワークスキャンツール」を自社で開発する場合における、サイバー犯罪組織による資産一覧ファイルを窃取するシナリオが用意されています。
想定される攻撃のシナリオとしては、
(1)攻撃者が自社のネットワーク機器をハッキングし、ファイルサーバーにアクセスする
(2)攻撃者が自社のスタッフに向け、機密情報の買取募集をする
(3)攻撃者からの募集を受けた自社スタッフ(派遣社員)が、自身のアカウントでファイルサーバーから資産一覧ファイルを窃取する、もしくはIT資産管理ツールを使って直接資産一覧ファイルを窃取する
というものです。
シナリオを作った後は、想定した脅威への対策を講じます。たとえばステークホルダーに対しては、派遣社員に与えるアカウントの権限を最小化すること、許可されていないUSBメモリの使用を拒絶すること、システム開発においては、ネットワークスキャンツールがインストールされたPCにパスワードなど認証機能を実装すること、そのPCが持ち出されないよう施錠をすることが挙げられています。
資料では、このようなセキュリティ対策を開発⼯程に組み込む必要があるとしています。つまり、“やらかしリスト”をあらかじめ用意しておき、先手を打っておくことが重要、ということです。
すべてのセキュリティ対策はできない。優先順位をつけよう
本稿で取り上げたのは、セキュリティ・バイ・デザインのほんの一部です。資料ではこのほかにもさまざまな対策が紹介されていますが、すべてのセキュリティ要件を実装することは、コストや時間を考えると困難です。脅威分析を参考に、どこにどれだけのセキュリティ対策をほどこすのか、優先順位をつけることが重要となります。
社会のデジタルシフトによって、あらゆるモノがインターネットに接続できる時代が到来しています。そのため、自社が開発した製品やサービスに脆弱性があった場合、そのシステムにはサイバー攻撃を受けるリスクが生じ、結果的に企業活動やブランドイメージに悪影響を与える可能性があります。しかし、セキュリティ・バイ・デザインを実践することで、脆弱性を抑えた、安全な製品やサービスを世に送り出すことが可能になるでしょう。
セキュリティ・バイ・デザインは、GAFAをはじめとした米国の主要企業では古くから取り組まれており、日本の主要なIT企業ではすでに取り組みが始まっています。この考え方が今後、ビジネスシーンの主流になるかもしれません。今のうちから、この「セキュリティ・バイ・デザイン導入指南書」に目を通しておくと良いかもしれません。
※本記事は2022年9月時点の情報を元に作成されています。