セキュリティ・バイ・デザインとは、システム開発の後段でセキュリティ対策を講じるのではなく、システムの企画や設計の初期段階から考慮し、対策を盛り込む考え方のことです。
セキュリティ・バイ・デザインとは?
セキュリティ・バイ・デザインとは何ですか?
「セキュリティ・バイ・デザイン」とは、システムの導入・運用後にセキュリティについて考えるのではなく、企画・設計の段階からセキュリティ対策を盛り込むことで情報セキュリティを確保する考え方のことです。
内閣サイバーセキュリティセンター(NISC)では、セキュリティ・バイ・デザインを「情報セキュリティを企画・設計段階から確保するための方策」として定義しています。
セキュリティ・バイ・デザインのメリット
セキュリティ・バイ・デザインは、開発の早い段階からセキュリティの考え方を導入できるため、次のメリットが挙げられます。
- 手戻りを減らし、納期を守ることができる
- コストを抑えることができる
- 保守性、セキュリティが高いソフトウェアができる
システム開発では工程が進むほど手戻りが必要になった場合の工数は大きくなります。工程が進んだあとにセキュリティ対策を考え始めると設計の根本から変える必要が出てくる可能性もあります。そこで、セキュリティ・バイ・デザインの考えのもと、企画・設計されたものであれば手戻りを少なくでき、納期を守れるようになります。また、手戻りが少なくなるということは、全体的なコストの削減につながります。
なお、セキュリティ・バイ・デザインの考えのもとで進められた設計に従った場合、製品の品質低下を防ぎ、保守性・セキュリティの高いソフトウェア開発が可能です。
セキュリティ・バイ・デザインのデメリット
セキュリティ・バイ・デザインがメリットをもたらすことができますが、現実は取り組むことは難しいとされています。その理由として以下が挙げられます。
- 歴史が浅く、プロセスが定まっていない
- 対応できる人材の確保が難しい
- 上層部の理解を得づらい
セキュリティ・バイ・デザインを具体的にどのように取り込むのか、どのようなプロセスが必要になるのかが理解できず、プロセスが定まっていないため対応できないという例も見られます。
また、情報セキュリティは範囲が非常に広く、ITに関する広く深い知識・スキルが求められます。情報セキュリティに関する知見を持つ人材が少なく、各企業が人材を確保することも難しいです。
セキュリティに関する分野は、直接製品の利益ポイントとなりづらく、セキュリティ・バイ・デザインの導入に対する時間・コストが上層部から無駄と判断される可能性も考えられます。
セキュリティ・バイ・デザインの導入方法
ここでは、IPAの「セキュリティ・バイ・デザイン入門」をもとに導入方法を解説します。
資料の中では、「セキュリティ設計」と「セーフティ設計」は両輪の輪と表現されており、双方が設計品質を見える化して持ち寄り、すり合わせて設計品質評価をすることが重要とされています。セキュリティ設計では保護対象を情報の機密性・完全性・可用性などとしており、セーフティ設計では人命・財産などが保護対象になります。
それぞれの観点からセキュリティコンセプト・セーフティコンセプトを用意し、要件定義の段階からシステムのセキュリティ・セーフティ要件定義を行った上で、システム設計に移ります。
その後、セキュリティでは脅威分析、セーフティではハザード分析を随時行いながら設計を進め、それぞれテストして開発を進めるのが流れになります。
セキュリティ・バイ・デザインに関する問題(令和5年問61)
IoTシステムなどの設計,構築及び運用に際しての基本原則とされ,システムの企画,設計段階から情報セキュリティを確保するための方策を何と呼ぶか。
ア. セキュアブート イ. セキュリティバイデザイン ウ. ユニバーサルデザイン エ. リブート
出典:令和5年度 ITパスポート試験公開問題 問61
正しいと思う選択肢をクリックしてみてください!!!
ア. セキュアブート
不正解です。
イ. セキュリティバイデザイン
正解です。
ウ. ユニバーサルデザイン
不正解です。
エ. リブート
不正解です。
コメント