JAPHICマーク取得企業では、単純に強固な情報セキュリティ体制を構築するだけではいけません。
体制を構築するスケジュールやコストなど、総合的な観点からもっとも良い方法を見つける必要があります。
今回は、JAPHICマーク取得企業におけるセキュリティ・バイ・デザインのポイントについて解説します。
セキュリティ・バイ・デザインの概要
セキュリティ・バイ・デザインは、システム開発の後段階で情報セキュリティ対策を講じるのではなく、企画や設計の初期段階から考慮し、対策を盛り込む考え方です。
セキュリティ・バイ・デザインという言葉自体は、2000年前後にはすでに登場しています。
そのため、新しい概念ではありません。
しかし近年のDXやデジタルビジネスの発展に伴い、サービス仕様の不備に起因する事故が多発したことを背景に、シフトレフトとあわせて再注目されています。
シフトレフトとは?
シフトレフトは、システム開発の工程において、上流で情報セキュリティ対策を組み込むというものです。
従来の情報セキュリティ対策は、テスト工程などの下流で行われることが一般的でしたが、より左側の上流で対策を講じるという意味でシフトレフトと呼ばれています。
セキュリティ・バイ・デザインと非常に似ていますが、セキュリティ・バイ・デザインの方がより早く情報セキュリティ対策を講じる考え方だと言えます。
セキュリティ・バイ・デザイン導入のメリット
JAPHICマーク取得企業にセキュリティ・バイ・デザインを導入するメリットは、主に以下の通りです。
・情報セキュリティ体制の強化
・セキュリティコストの低減
・保守性に優れたシステムの構築
セキュリティ・バイ・デザインを導入することで、デバイス間の認証メカニズムなどを設計段階から確立できるため、システム全体の情報セキュリティ体制が強化されます。
またセキュリティ・バイ・デザインを導入すれば、開発プロセスの手戻りが減少し、コストの低減とプロジェクトの効率化につながります。
さらに、セキュリティ方針が初期から明確にされているため、保守や運用段階においても効率的に対応できます。
セキュリティ・バイ・デザインを導入する方法
セキュリティ・バイ・デザインを導入する際、JAPHICマーク取得企業は以下のような段階を踏むことになります。
・脅威の分析、特定
・セキュリティ要件の定義、決定
・セキュリティアーキテクチャの構築
まず企業のシステムに対する情報セキュリティの脅威を分析し、特定する必要があります。
分析の結果、対応すべき脅威が明らかになれば、セキュリティ要件を定義して決めていくことが可能です。
またアーキテクチャは、開発するシステムやソフトウェアによって大きく異なるため、汎用的なセキュリティアーキテクチャなどは存在しません。
そのため、実績のあるフレームワークやデザインパターンを活用することが推奨されています。
セキュリティ・バイ・デザインの注意点
セキュリティ・バイ・デザインは、歴史が浅くプロセスが定まっていません。
また情報セキュリティは範囲が非常に広く、ITに関する広く深い知識・スキルが求められます。
これらのことから、対応できる人材を確保するのが難しいです。
また情報セキュリティに関する分野は、直接製品の利益ポイントとなりづらいです。
そのため、必要性を訴えるセキュリティ担当者と、無駄と感じる上層部とで衝突が起こる可能性もあります。
まとめ
JAPHICマーク取得企業は、常に情報をアップデートし、堅固な情報セキュリティ体制を維持しなければいけません。
そのため、セキュリティ・バイ・デザインを導入していない場合は、企業の現状を把握した上で導入を検討してください。
無理に採り入れようとすると、業務の非効率化が起こったり、リソースやコストの問題が発生したりする可能性があります。