セキュリティ・バイ・デザイン概説2

中小企業の経営者や情報システム担当者の皆さん、日々のセキュリティ対策、お疲れ様です。 前回に続き、本記事では、情報システムに対して、確実かつ効率的にセキュリティを確保するため、システム開発の企画段階から対策を実装する「セキュリティ・バイ・デザイン」について解説します。

●セキュリティ・バイ・デザインの工程概要

前回解説したように、セキュリティ・バイ・デザインは、デジタル庁のガイドラインによれば、「情報システムの企画工程から設計工程、開発工程、運用工程まで含めた全てのシステムライフサイクルにおいて、一貫したセキュリティを確保する方策のこと」と定義されています。また、同ガイドラインは、デジタル庁「デジタル・ガバメント推進標準ガイドライン」のセキュリティ編と位置付けています。そのため、「デジタル・ガバメント推進標準ガイドライン」のシステム開発・運用工程におけるセキュリティ・バイ・デザインの工程と概要を次に示します。

※セキュリティ・バイ・デザインの実施工程と概要
「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」より
(https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/7e3e30b9/20240131_resources_standard_guidelines_guidelines_01.pdf)

これ以降は、セキュリティ・バイ・デザインの各工程において求められること（要求事項）、実施内容、セキュリティ対策の考え方について見ていきましょう。

●セキュリティリスク分析工程における要求事項及び実施内容

セキュリティ・バイ・デザインの最初の工程はセキュリティリスク分析です。

この工程における要求事項は次の通りです。

・システムにおけるセキュリティ脅威が特定されていること
・当該脅威にかかる発生可能性、システムへの影響度を踏まえて、リスク分析が実施されていること
・リスク分析結果に基づき、セキュリティ対応方針を検討し、リスク対応優先度や遵守すべきセキュリティ標準（セキュリティ ベースライン）対応リソース等を決定していること

一般的に、システム開発の初期段階でリスク分析を行われているケースは少ないと思われますが、セキュリティ・バイ・デザインでは、要件定義の前段階であるサービス・業務企画段階でリスク分析を行うことを求めています。

また、上記の要求事項を踏まえた実施内容としては次の事項が挙げられています。

・システムで取扱う重要情報、アクター、実施業務、他システムとの連携方法等、システムで取扱う重要情報のフローやライフサイクルが分かる内容を記載したシステムプロファイルの作成
・システムプロファイルに基づくセキュリティ脅威の特定
・セキュリティ脅威の発生可能性、システムへの影響度を踏まえたリスク分析の実施
・リスク分析結果を踏まえたセキュリティ対応方針の決定（リスク対応優先度、遵守すべきセキュリティ標準、検証方法、対応リソース等）

なお、セキュリティリスク分析において活用できるフレームワークとして、EBIOS （Expression of Needs and Identification of Security Objectives）があります。EBIOSは、フランスの国家情報システムセキュリティ庁（ANSSI）が提唱するリスク分析⼿法であり、次の5つのWorkshopで構成されています。

　Workshop1：スコープとセキュリティベースライン (Scope and security baseline)
　Workshop2：脅威の特定 (Risk Origins)
　Workshop3：戦略的シナリオ (Strategic Scenarios)
　Workshop4：攻撃⼿順シナリオ (Operating Scenarios) 　Workshop5：リスクへの対策 (Risk Treatment)

●セキュリティリスク分析工程におけるセキュリティ対策の考え方

システム開発においては、システムの特性や重要度に応じた適切なセキュリティ対応方針が示されていないことから、セキュリティ対策が不十分であったり、場合によっては過剰なセキュリティ対策が実施されたりすることもあります。

そうした状況に陥るのを防ぎ、適切なレベルのセキュリティ対策を実施するため、対象となるシステムにおいて想定される脅威とその発生可能性、システムへの影響度等を踏まえ、リスク分析を実施します。

その結果から、システムの特性や重要度等に見合った適切なセキュリティ対応方針を検討し、想定されるセキュリティ脅威に伴うリスクへの対策や遵守すべきセキュリティ標準（ベースライン）等を決定します。また、開発工程や運用工程における第三者によるチェックやレビュー（脆弱性診断、セキュリティレビュー等）の実施方針、そのために必要となるリソース等についても検討・決定します。

●セキュリティ要件定義工程における要求事項及び実施内容

セキュリティリスク分析工程に続くのがセキュリティ要件定義工程です。

この工程における要求事項は、セキュリティリスク分析結果、セキュリティ対応方針に従い、システムで満たすべきセキュリティの状態が定義されていることです。
その実施内容として、①システムに実装する要件、②アプリケーション開発におけるセキュリティ要件、③セキュリティ管理における要件の項目例を挙げます。

①システムに実装する要件

システムに実装するセキュリティ要件としては、次のようなものがあり、これらについて、システム基盤（ネットワーク、ハードウェア、OS、ミドルウェア等）において実装する要件と、アプリケーションに実装する要件を明確にする必要があります。

・識別及び認証
・アクセス制御
・データ保護（暗号化等）
・セキュリティ監視
・マルウェア対策
・サービス妨害攻撃対策

②アプリケーション開発におけるセキュリティ要件

アプリケーション開発におけるセキュリティ要件としては、次のようなものがあります。

・アプリケーションの特性、使用言語等に応じたセキュリティ要件（対処が必要な脆弱性等）
・セキュリティテスト方式に関する要件
・開発環境におけるセキュリティ対策要件（本番環境との隔離、アクセス制御、ライブラリ管理等）　

③セキュリティ管理における要件

セキュリティ管理におけるセキュリティ要件としては、次のようなものがあります。

・アイデンティティ管理（ID管理）
・パッチ管理
・パフォーマンス管理
・構成管理
・変更管理
・ログ管理
・インシデント管理
・問題管理
・鍵管理

●セキュリティ要件定義工程におけるセキュリティ対策の考え方

サイバー攻撃が行われる前提で、多層のセキュリティ対策を実施し、仮に一つのセキュリティ対策が突破されたとしても、別のセキュリティ対策により被害を極小化することを目的とした考え方（多層防御）に基づいて、セキュリティ要件を定義することが重要です。

OSやミドルウェア、ネットワーク、アプリケーションの各コンポーネント等においては、多層のセキュリティ対策を実施することにより、攻撃者にとって攻撃コストの高いシステムを実現することが有効です。

また、攻撃や事故の発生自体を防止する防御に類するセキュリティ対策に偏らず、インシデントやその兆候を速やかに検知し、その後のインシデント対応、サービス復旧のための対策も含め、多層的にセキュリティ対策を実装することが求められます。


今回はセキュリティ・バイ・デザインの実施工程概要と、セキュリティリスク分析工程、セキュリティ要件定義工程における要求事項、実施内容、セキュリティ対策の考え方等について解説しました。次回以降も同様に、セキュリティリスク分析、セキュリティ要件定義に続く各工程について順次解説します。

●参考情報

デジタル・ガバメント推進標準ガイドライン
(https://www.digital.go.jp/assets/contents/node/basic_page/field_ref_resources/e2a06143-ed29-4f1d-9c31-0f06fca67afc/d4e68a9b/20250619_resources_standard_guidelines_guideline_01.pdf)

セキュリティ・バイ・デザイン導⼊指南書
(https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002kef-att/000100451.pdf)