「セキュリティバイデザイン」とは

セキュリティバイデザインが実現するIoT時代の製品開発とは石井友貴(いしい・ともき)
デロイト トーマツ リスクサービス
シニアマネジャー

外資系ソフトウェアベンダー、システムインテグレータを経て2013年より現職。セキュリティコンサルティングとシステムコンサルティングの両方を専門とし、製造業を主なターゲットとして、システム構想策定、セキュリティプログラム構築、大規模プロジェクトPMO等のコンサルティングを提供している。CISSP、CISA、CISM、PCI QSA審査員

 最近、IoTの開発現場においてセキュリティバイデザイン(Security by Design)が再び注目を集めています。

 このキーワードを初めて目にするという方もおられるかもしれませんが、あえて「再び」としたのは、実はこのキーワードが示すコンセプトは決して目新しいものではなく、ITの世界では従来から存在しているものだからです。

 セキュリティバイデザインとは何でしょうか? NISC(内閣官房情報セキュリティセンター)が策定した「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」では、セキュリティバイデザインを「情報セキュリティを企画・設計段階から確保するための方策」と定義しています。

 つまり、情報システムのリリース後、あるいは、情報セキュリティインシデントの発生時に、対症療法的にセキュリティ対策を施すという事後的対処から脱却し、情報システムの企画・設計段階から、そのシステムが安全に運用されるために必要となる情報セキュリティ要件を定義し、開発工程を通じて情報システムに確実に実装されることを目指した取り組みのことです。

 もちろん、できるだけ早い段階で要件を定義すべきである、という考え方は、情報セキュリティに限定された話ではありません。

 情報システムの機能要件(業務機能)や非機能要件(性能、信頼性など)は、システム開発ライフサイクル(SDLC)の後半になればなるほど改修コストや手戻りが大きくなるのが一般的であり、ウォーターフォール型開発を中心とする大規模システム開発の現場では、以前から重視されてきた考え方です。