デジタル庁が2022年に、「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」を発表した。このガイドラインでは、セキュリティ品質を保つには、現場対応だけでなく、妥当性を評価・監督する体制の整備が不可欠であると示している。
- セキュリティ・バイ・デザインとは?
- なぜ今、セキュリティ・バイ・デザインが必要なのか?
- セキュリティ・バイ・デザインの4つの基本原則
- 開発ライフサイクルでどう実践するか?
- 組織全体での取り組みがカギ
- セキュリティ・バイ・デザインのリスク管理体制
- 金融事業部門での活用ポイント
- 最後に:セキュリティは文化になる
- 用語の定義
- 参考文書
セキュリティ・バイ・デザインとは?
「後付け」では守れない時代。設計段階から安全を組み込む考え方。
セキュリティ・バイ・デザインとは、システムの企画・設計段階から、セキュリティ対策を意識的に組み込むアプローチです。
後から対応するのではなく、最初から「守れる構造」を作ることが目的。
近年では国のガイドラインや各種認証要件にも明記されており、開発現場だけでなく経営戦略としても重要視されています。
導入のメリット
- 致命的なセキュリティ対策の漏れ等による上流工程への手戻りを防止でき、納期確保やセキュリティコスト低減が可能となる
ref: 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
- システムごとのセキュリティ品質のばらつき解消や、組織全体におけるシステムセキュリティ品質の底上げが可能となる
ref: 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
基本方針
- 事後的ではなく、予防的にセキュリティ対策を組み込むこと
- 全てのシステムライフサイクルを保護すること
- 初期設定値においてセキュリティが担保された状態を実現すること
- システム特性に応じて過不足ないセキュリティ対策を実施すること
- セキュリティリスクの評価、管理を実施すること
- 利便性を損なわないように、セキュリティを確保すること
なぜ今、セキュリティ・バイ・デザインが必要なのか?
- 攻撃手法は日々高度化・自動化されている
- サービス停止・情報漏洩の損失は計り知れない
- 開発後のセキュリティ対策はコストも手間も大きい
だからこそ、「最初から作り込む」発想が求められています。
セキュリティ・バイ・デザインの4つの基本原則
- リスクベースで考えること
- ライフサイクル全体で対応すること
- 関係者で責任と連携を明確にすること
- 継続的に改善すること
「守ること」が目的ではなく、ビジネスを止めない仕組みづくりの土台です。
開発ライフサイクルでどう実践するか?
サービス・業務企画
- セキュリティリスク分析
- 概要
- 想定脅威にかかるセキュリティリスク分析の実施
- セキュリティ対応方針の決定
- 目的
- システムに対する脅威や脆弱性を把握し、適切なセキュリティ対策の優先順位をつけるためのリスク評価を行う
- 要求事項 - 対象業務・システムの資産、利用者、関係者を洗い出し、脅威・脆弱性・リスクを識別・分析すること。
- 実施内容 - 対象範囲を明確にし、業務フローやデータフローの把握を行う。脅威モデルやリスクマトリクスを用いてリスク評価を行い、残留リスクも可視化する。
- 重要なセキュリティ対策の考え方
- 「リスクベースアプローチ」により対策の過不足を避ける。リスク評価結果に基づいて、対策優先度を設定し、関係者の合意を得ることが重要。
- 概要
要件定義
- 概要
- セキュリティ要件定義
- システムにおける機能面、非機能面でのセキュリティ要件の定義
- セキュリティ要件定義
- 目的
- リスク対応のために必要なセキュリティ上の要件を明文化し、設計・調達・運用に活かす。
- 要求事項
- リスク分析結果に基づいたセキュリティ要件を、システム全体や各コンポーネントに対して定義すること。
- 実施内容
- 機密性・完全性・可用性の観点から技術的・組織的対策を要件化し、関係文書(設計書、契約書など)に反映する。
- 重要なセキュリティ対策の考え方
- 設計・実装段階で確実に要件が反映されるよう、トレーサビリティを確保する。過不足のない要件設定が肝要。
調達
- 概要
- セキュア調達
- セキュリティ調達仕様の策定、責任範囲の明確化
- 安全な委託先、安全なプロダクトの選定
- セキュア調達
- 目的
- セキュリティ要求を満たす製品・サービスを適切に選定・契約し、供給者にも対策責任を持たせる。
- 要求事項
- 調達仕様書や契約書にセキュリティ要件、責任分担、脆弱性対応、監査対応などを明記すること。
- 実施内容
- 提案依頼(RFP)での明示、供給者との契約におけるセキュリティ条件の設定、契約後の確認や監査体制の確保。
- 重要なセキュリティ対策の考え方
- 供給者とのセキュリティレベルの共通理解と、責任の明確化。ライフサイクル全体での対策継続性を重視。
設計・開発
- セキュリティ設計
- 概要
- 機能面と非機能面でのセキュリティ設計
- 目的
- 事前に定義されたセキュリティ要件を満たすよう、システム全体の構成や機能を安全に設計する。
- 要求事項
- 情報資産や脅威に応じたセキュリティアーキテクチャを構築し、設計書に落とし込むこと。
- 実施内容
- ネットワーク分離、アクセス制御、認証・認可、暗号化、監視機構の設計。設計段階でセキュリティレビューを実施。
- 重要なセキュリティ対策の考え方
- 「最小権限の原則」「多層防御」「ゼロトラスト」など、原則に基づいた安全設計を徹底する。
- 概要
- セキュリティ実装
- 概要
- セキュリティ機能の実装
- アプリケーションのセキュアコーディング
- プラットフォームのセキュリティ設定の実施(堅牢化)
- 目的 - セキュリティ設計をもとに、安全性を確保したコードやシステム設定を構築する。
- 要求事項 - セキュアコーディングを遵守し、外部モジュールも含めた脆弱性対策を行うこと。
- 実施内容 - セキュアコーディング指針に沿った実装、コードレビュー、OSS等の第三者製品の検証と制御、IaC等の自動化活用。
- 重要なセキュリティ対策の考え方 - 実装段階でも「セキュリティファースト」の姿勢を持ち、構成ミスや再発リスクを防止。既存部品の信頼性確認も重視。
- 概要
- セキュリティテスト
- 概要
- セキュリティ機能のテスト
- 脆弱性診断
- 目的 - 実装がセキュリティ要件を満たしているかを確認し、脆弱性を事前に発見・修正する。
- 要求事項 - 設計・実装段階で設定した対策の妥当性と有効性を確認するための各種テストの実施。
- 実施内容 - 静的解析(ソースコード)、動的解析(実行時挙動)、ペネトレーションテスト、脆弱性診断の実施。
- 重要なセキュリティ対策の考え方 - 開発工程内にセキュリティテストを組み込むDevSecOps的発想。第三者の視点による診断も重要。
- 概要
サービス・業務の運営と改善
- セキュリティ運用準備
- 概要
- セキュリティ運用体制の確立
- セキュリティ運用手順の確立
- 目的 - 本番稼働前にセキュリティ運用体制を整え、運用時のリスク対応力を確保する。
- 要求事項 - インシデント対応計画や運用ルール、教育体制などを整備しておくこと。
- 実施内容 - CSIRTとの連携体制構築、ログ管理・分析手順の整備、関係者への教育、演習の実施。
- 重要なセキュリティ対策の考え方 - 「インシデントは起こる前提」で備える。役割と対応フローを明確にし、初動対応の質を高める。
- 概要
運用及び保守
- セキュリティ運用
- 概要
- 平時のセキュリティ運用
- 有事のセキュリティ運用
- 概要
- 目的 - 運用フェーズにおいて、継続的に脅威を監視・対応し、セキュリティレベルを維持・改善する。
- 要求事項 - 脆弱性情報の継続収集、ログ監視、パッチ適用、インシデント発生時の適切な対応。
- 実施内容 - ログ分析やSIEMツールを用いた監視、脆弱性情報への対応、インシデント報告・記録・再発防止。
- 重要なセキュリティ対策の考え方 - 「継続的改善」(PDCA)を前提とした運用。収集した情報はフィードバックし、将来的な設計・対策に活かす。
組織全体での取り組みがカギ
- 開発・運用・業務部門を横断した体制の構築
- セキュリティ要件テンプレートの整備
- 継続的な人材育成と教育
技術だけでなく、プロセスと文化の整備が成功の鍵です。
セキュリティ・バイ・デザインのリスク管理体制
ref: 政府情報システムにおけるセキュリティ・バイ・デザインガイドライン
金融事業部門での活用ポイント
- 新サービスの企画段階からセキュリティ関与を明文化
- 委託先にもセキュリティレビューや診断を義務化
- 定期的なレビュー会議で全社横断的に可視化と共有
最後に:セキュリティは文化になる
「セキュリティ=制約」ではなく、
「セキュリティ=競争力」へ。
セキュリティ・バイ・デザインは、
単なるリスク対策ではなく、顧客信頼・法令遵守・事業継続性を高める戦略的な資産です。
組織の文化として根づかせてこそ、金融サービスは真に強くなります。
用語の定義
| 用語 | 意味 |
|---|---|
| サイバーレジリエンス | サイバーセキュリティ攻撃の影響を最小限に留めつつ、迅速に元の状態に回復、復元すること |
| DevSecOps | 開発と運用がシームレスに連携する DevOps にセキュリティを組み込むことで、セキュリティを確保しつつ、開発スピードを損なわない開発手法のこと |
| アタックサーフェス(攻撃対象領域) | システムにおいて、サイバー攻撃を受ける可能性のあるすべての攻撃点、経路のこと |