セキュリティ対策の生産性を向上する「シフトレフト」と「セキュリティ・バイ・デザイン」とは
開発プロセスにセキュリティ対策を組み入れることも重要だ。セキュリティリスクアセスメントでは、あるべき姿に対し現在の状況の不足点を把握する。まず、リスクの範囲を明確にするためスコープを設定する。次に、設定したスコープでのリスクを特定する。このプロセスには脅威分析やソリューションを使ったリスク特定が含まれる。リスクの優先度を決定し、優先度が高いリスクから順に対策を講じる。リスク対策としてソリューションを使ってリスクを軽減することがある。
具体例として関戸氏は、システム設計を検証する脅威モデリング、ソースコードの検査、完成したWebアプリケーションの診断サービスなどを挙げ「どれか一つの方法だけで安心するのではなく、多角的にリスクを特定することで、広範囲のリスクに対処できる」とコメントした。
さらに関戸氏は、セキュリティ対策の生産性を向上させる2つのキーワードを紹介した。1つは「シフトレフト」で、システム開発のより早い段階でリスクを特定し、対応することを指す。もう1つは「セキュリティ・バイ・デザイン」で、設計段階からセキュリティを組み込み、安全なシステムを作ることを意味する。NRIセキュアには多くのセキュリティコンサルタントが在籍しており、これらの取り組みを支援できる。
関戸氏は、同社が「セキュリティ・バイ・デザイン」の考え方に基づいたセキュリティ強化スキームの構築を支援したMS&ADシステムズ株式会社の事例について、「多くの事業会社がそれぞれシステム開発運用を行う中で、担当者のセキュリティ知識に依存せずセキュリティを確保するために、シフトレフトとセキュリティ・バイ・デザインの取り組みを進めています。これによってセキュリティ品質を高め、手戻りコストの削減を実現しています」と説明した。
