お問い合わせ

ソリューション

ソリューショントップへ


導入事例

導入事例トップへ


会社情報

会社情報トップへ


採用情報

採用情報トップへ

セキュリティソリューション導入 / 
運用支援 / 監視サービス
脅威トレンド

2025.6.30

内部不正

一覧へ戻る

セキュリティ・バイ・デザイン

セキュリティ・バイ・デザインがもたらすセキュリティ対策の新しい潮流

  • #セキュリティ・バイ・デザイン

はじめに

セキュリティ・バイ・デザイン(以下、SBD)は、2011年に内閣官房情報セキュリティセンター(NISC)が提唱した考え方で、政府調達におけるセキュリティ要件を明確化し、調達者と供給者の合意形成を促進することで、不公正な調達や過度なセキュリティ対策による価格高騰を防ぐことを目的としています。
2022年にはデジタル庁より「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」が発行され、SBDは、情報システムの企画から設計・開発・運用を含めたすべてのシステムライフサイクルにおいて、一貫したセキュリティを確保する方策として再定義されました。
このガイドラインでは、セキュリティ品質を確保するために、開発や運用などの各工程におけるセキュリティ対策の実施だけでなく、その妥当性を客観的に評価し適切な是正を管理監督するセキュリティリスク管理体制の整備についても言及しています。
SBDは、政府システム向けの考え方ではありますが、民間企業の情報システムにも応用可能な普遍性を持っており、企業のセキュリティ担当者にとっても有益な指針となります。

目次

SBDを導入するメリット

SBDは、システムやソフトウェアの企画・設計段階からセキュリティを考慮して実装するアプローチです。これは、後からセキュリティ対策を施すのではなく、開発の初期段階からリスクを最小限に抑えることを目的としています。
従来のセキュリティ対策では、システム開発の最終段階で脆弱性診断やペネトレーションテストを実施し、発見された問題に対処する手法が一般的でした。しかし、この方法では、リリース後に重大な脆弱性が発見された場合、大幅な手戻りが発生し、開発スケジュールやコストに深刻な影響を与えるリスクがあります。SBDを導入することで、こうした課題を未然に防ぎ、より効率的かつ安全なシステム開発が可能になります。

  • 1コスト面

    SBDを導入することで、リリース後に発見された致命的なセキュリティ対策の漏れ等による上流工程への手戻りを防止することができ、納期確保や総合的なセキュリティコスト低減につながります。

  • 2品質面

    企業のすべての情報システムを対象として、システム開発から運用まで標準化されたセキュリティ対策を実施し、対策の妥当性を検証する仕組みを導入することで、システムごとの品質のばらつきを抑え、組織全体のセキュリティレベルを向上させることが可能です。

SBDの基本方針

前出のガイドラインには、SBDの実施にあたり、単に表面的なセキュリティ対策を施すだけではなく、SBDの根底にある考え方(基本方針)を理解することの重要性が説かれています。
ここではガイドラインに沿ってSBDの基本方針について説明します。

予防的セキュリティ

・インシデント発生後の対応ではなく、予防的にSBDを実施すること。

すべての開発ライフサイクルに適用

・特定の工程のみで実施するのではなく、全てのシステム開発ライフサイクルを通して、一貫したセキュリティ対策を実施すること。
・関係者間でセキュリティ対策の責任範囲を明確にし、抜け漏れなくセキュリティ対策を実施すること。

セキュリティ・バイ・デフォルト

・初期設定でセキュリティが担保された状態を実現し、システム運用者や利用者による設定ミスを最小化すること。

システム特性に応じた対策

・画一的な対策ではなく、システム特性や重要度に応じて過不足なく対策を講じること。
・システム仕様だけでなく、サービス仕様や人的ミスに起因するセキュリティ事故の発生も考慮し、多角的な対策を検討すること。

継続的なセキュリティ管理

・対策を実施するだけでなく、充足性やリスクを継続的に評価すること。
・セキュリティリスクを継続的に管理するための体制やリスク管理プロセスを導入すること。

利便性との共存

・システムにおける利便性確保とセキュリティ強化を同時に実現し、双方にとって利益がある状態(ポジティブサム)を目指すこと。

SBDの実践

独立行政法人情報処理推進機構(IPA)が発行している「セキュリティ・バイ・デザイン導入指南書」では、OWASP SAMM 2.0をベースにSBDの実践方法が具体的に紹介されています。
SAMM(Software Assurance Maturity Model)は、ソフトウェアセキュリティ対策のための戦略の策定・実施を支援するフレームワークです。
SAMMは5つのビジネス機能に対して成熟度を定義していますが、「設計(Design)」にフォーカスして上流工程で実施すべき「脅威分析」「セキュリティ要件」「セキュリティアーキテクチャー」の取り組みについて解説しています。

  • 1脅威分析

    ソフトウェアが直面する脅威や想定される攻撃を明らかにし、どの程度のリスクが発生するかを分析します。

  • 2セキュリティ要件

    ソフトウェア自体のセキュアな動作を定義します。システムの要件には一般的に機能要件と可用性、保守性、性能などの非機能要件がありますが、セキュリティ要件はシステムを安全に運用するために必要な目標を定義する非機能要件です。

  • 3セキュリティアーキテクチャー

    SAMMではフレームワークやデザインパターンを利用することを推奨しています。これは、スクラッチで作った新規のソースコードよりも、広く普及している信頼されたプラットフォームやライブラリの方が信頼できるという考え方に基づいています。

セキュリティ・バイ・デザインとDevSecOps(デブセックオプス)

SBDと似た考え方にDevSecOpsがあります。DevSecOpsはDevOps(デブオプス)にセキュリティ要素を組み込んだ進化形です。
DevOpsは、Development(開発)とOperations(運用)を組み合わせた言葉で、ソフトウェア開発ライフサイクルにおける開発チームと運用チームの連携を強化し、迅速かつ高品質なソフトウェアリリースを実現するための手法や文化です。
DevOpsでは、開発と運用のサイロ化を解消し、コラボレーションを促進させ、その結果としてソフトウェアのリリースサイクルを短縮しつつ、ソフトウェアの品質を安定させることを目的にしています。
その目的を達成するために、自動化のためのツールやプロセスを活用し、継続的インテグレーション(CI:Continuous Integration)や継続的デリバリー(CD:Continuous Delivery)を実践します。
つまり、DevSecOpsとは、開発(Development)、セキュリティ(Security)、運用(Operations)を統合し、システムのライフサイクル全体を通してセキュリティを継続的に確保するアプローチのことです。
DevSecOpsでは、セキュリティを「全員の責任」と位置づけ、自動化ツールやプロセスを活用して、迅速かつ安全なシステム開発・運用を実現します。SBDの考え方をDevSecOpsのプロセスに組み込むことで、より効率的かつ効果的なセキュリティ対策が可能になります。

まとめ

システム開発を得意とする弊社では、これまでもSBDを取り入れた高品質なシステムを提供してまいりました。システム開発のセキュリティについてお困りのことがあれば、お気軽に弊社までお問合せください。

一覧へ戻る
お問い合わせ

問い合わせはこちら

CONTACT

まずはお気軽にお問い合わせください。

お問い合わせ