覚えておきたい情報セキュリティ&ネットワークのキホン（第12回）情報セキュリティ設計の重要性―セキュリティバイデザインとは？

メリット1：開発の手戻りを抑えられる
　一般的に製品・システム開発では、問題の発見が遅れるほど、工程の手戻り幅も大きくなり、開発期間が長くなります。特に情報セキュリティの問題は放置できないため、納期やコストへの影響が大きくなります。

　それに対して、セキュリティバイデザインを組み込んだ製品・システムは、企画・設計段階で情報セキュリティ対策を講じるため、手戻りが発生する可能性を抑えることができます。

メリット2：コストが少なくて済む
　設計段階で情報セキュリティ対策を施すことで、後から対策をするよりコストを抑えられるのも、メリットの1つです。情報処理推進機構（IPA）によれば、設計時の情報セキュリティ対策コストを「1」とした場合、運用時の情報セキュリティ対策コストは「100」になるとしています。

メリット3：運用保守がしやすい
　セキュリティバイデザインを組み込んだ製品・システムは、一貫した設計で情報セキュリティ対策がされているため、後付けで情報セキュリティ対策が施された製品・システムと比較して、運用や保守をしやすいこともメリットです。

セキュリティバイデザインの考え方を生かした事例

　ここからは、セキュリティバイデザインの考え方を生かした、飲食店予約サービス「Yahoo!ダイニング」によるIoTの検証実験の事例を紹介します。

　検証は、飲食店の空席状況をIoTで把握するというものでした。必要となるのは該当のテーブルの空席状況を把握するのみだったため、テーブルの下に人感センサーを設置することで個人情報を取得しない仕組みで、システムの設計、構築が行われました。

　店内の空席状況の把握だけを考えるのであれば、カメラなどを設置して情報を取得するほうがシステム的にシンプルかもしれません。しかし、テーブルに座っている人の性別や人数、年齢など空席把握の目的には不要な情報も取れてしまいます。

　今回の検証では、そういった情報セキュリティリスクをシステム設計の段階から考慮したことで、カメラよりも情報セキュリティ対策を簡易にできる人感センサーを採用することになりました。システム開発の上流段階で情報セキュリティ要件を洗い出し、脆弱性を発生させない設計を行った例といえます。

セキュリティバイデザインの普及の障害

　このように、多くのメリットが考えられるセキュリティバイデザインですが、ハードルもあります。まず、情報セキュリティ設計というコンセプト自体の歴史が浅く、製品・サービスの設計段階で情報セキュリティ対策も行うことの必要性が一般的でないことがあります。

　情報処理推進機構が公開する「セーフティ設計・セキュリティ設計に関する実態調査結果」によると、アンケートを行った56社中30社がそもそも情報セキュリティ設計に関して明文化されたルールが存在していないと回答しています。

　情報セキュリティ設計が考慮しなくてはならない被害は、人的ミスやサイバー攻撃など人為的なものが大半です。そのため事前の想定が難しいことも、セキュリティバイデザインによる情報セキュリティ設計のハードルとなっています。

まとめ

　セキュリティバイデザインは、さまざまなメリットを享受できますが、採用までのハードルが高い現状もあります。とはいえ、IoTの普及などで今後スタンダードな情報セキュリティ対策の考え方となっていく可能性は高いといえます。製品・システム開発を行う際は、セキュリティバイデザインの最新の動向を注視しておくとよいでしょう。

※掲載している情報は、記事執筆時点のものです