Best Engine

ITの最新動向を紹介する技術情報サイト

|特集|セキュリティがビジネスを“Enable”する

対談:岡田 良太郎 × 藤岡 良樹

「セキュア・バイ・デザイン」がシステムの実装、導入のポイント

──
最後に、今後に向けて企業がセキュリティ対策に関して意識すべきポイントや、目指すべき方向性についての考えをお聞かせください。
岡田

企業のセキュリティライフサイクルという視点が必要です。これからフォーカスしていかなければならない領域の1つに、企画・設計・実装の各段階からセキュリティを組み込む「セキュア・バイ・デザイン(Secure by Design)」※3というものがあります。これは日本政府のサイバーセキュリティ戦略※4にも明示されています。企業が社内で運用している業務用のWebアプリケーションの中には、SQLインジェクション※5などの被害の影響が大きい攻撃に対して無防備なものが少なくありません。要するに、システムを担当したSIerなり、導入しているパッケージのベンダーなりが、社内環境は安全だと盲信したせいか、セキュア・バイ・デザインを実践していないということなのです。いくらネットワーク境界などで怪しいトラフィックを監視するといった対策を行っても、守っているつもりのシステム内部のアプリケーションが脆弱性を抱えているというのでは話になりません。

今日では確かにオープンソースのモジュールなどを使って、システムを構築するスピードそのものは大きく向上しましたが、その一方で、脆弱性をたっぷり抱えたアプリケーションが量産されやすくなっています。また、機能要件と納期、コストが最優先される中で、ますます巧妙化する脅威を見据えたセキュアなアプリケーションを構築・保守していくためのプロセスや、実装するスキルといったものが見過ごされているのです。

そこで、アプリケーションの要件定義、設計、実装、そして運用の各段階に、ベースとして、セキュア・バイ・デザインの考え方をビルトイン、つまり別物として扱うのではなく、プロセスに取り込むことが必要です。今後のシステムのクラウド・IoTなど分散したスタイルを考えると、他社のWeb APIやデータを活用するという局面も増えてくるでしょう。そうした際には、後付けのセキュリティではなく、セキュア・バイ・デザインの考えに則ってそれらWebサービスのリスクを精査し、コントロールしていくことが必須になってきます。これに運用も含めた観点でサイクルを回す、「DevSecOps」※6というキーワードもでてきています。実践するための具体的な取り組みには、OWASP※7 のガイドラインが役立ちます。
パッケージやサービス型のアプリケーションを導入する企業ユーザには、採用しようとしているシステムが、単に機能やブランドだけではなく、設計や実装段階でセキュアに開発されるプロセスがあるか、また耐障害性はどうかということに着目するなど、選択にかかわる適正な意志決定が行える能力といったものも求められてくることになります。
藤岡
おっしゃる通りだと思います。今やITはビジネスと一体化し、ITなしではそもそも新たなビジネスモデルが成立し得ない時代を迎えていると言っても過言ではありません。そうした状況の中では、今までとは全く違うスピード感で、アイデアを確実にITサービスとして実装していかなければなりません。
その際にアプリケーション、システムに対し、いかにセキュリティの作り込みを適正に行うか――。そうした要請に応え、セキュリティサービスプロバイダとして、またSIerとして、今後もCTCではお客様のビジネスをイネーブルするセキュリティの提供に向けた取り組みをますます強化していきたいと考えています。
セキュリティの歴史の中で攻撃の動機や目的、ターゲットは時間と共に大きく変化しています。しかし、弱点すなわち脆弱性が狙われるということは変わりません。CTCはシステム、組織、運用に潜む脆弱性に対応すべくお客様を支援しており、セキュリティの専門性と長年のSI総合力を組み合わせて「セキュア・バイ・デザイン」を通してITの可能性をさらに広げていきます。
岡田氏と藤岡氏
  1. セキュア・バイ・デザイン(Secure by Design)
    システムの企画・設計段階からセキュリティの確保を盛り込むコンセプト。セキュリティを非機能要件として後付け・後回しにされ利便性だけを追求されがちな状況から脱却し、確保すべき品質に関する共通価値とするものである。
  2. 内閣府サイバーセキュリティ戦略(平成27年9月4日閣議決定)
    セキュリティ・バイ・デザインの推進、説明責任、また関係者の共通価値として認識することについて明示されている。
    http://www.nisc.go.jp/active/kihon/ pdf/cs-senryaku-kakugikettei.pdf
  3. SQLインジェクション
    Webアプリケーションへの一般的な攻撃手法。Webアプリケーションとデータベースとの連動における対応の不備をつき、データベースの改竄や情報の入手を含めた様々な不正操作が可能になる。
  4. DevSecOps
    開発(Development)部門と運用(Operations)部門が密接に連携してシステムを運用しながらの機能開発を行うDevOpsに、セキュリティ部門の連携も加えた運用・開発手法。
  5. OWASP(Open Web Application Security Project)
    アプリケーションセキュリティをとりまく課題を解決することを目的とする、国際的でオープンなコミュニティ。OWASP Top 10はアプリケーションセキュリティリスク対策について世界で最も活用されているガイドラインである。運営母体であるThe OWASP Foundationは、2001年に設立され、2004年4月21日よりアメリカ合衆国にて政府認定NPOである。120以上のプロジェクトがあり、全世界200以上の拠点にチャプター(支部)がある。

記載内容は掲載当時の情報です。最新情報と異なる場合がありますのでご了承ください。