セキュリティバイデザインとは
プログラミングや情報セキュリティでセキュリティバイデザインという考え方がある。
システムを設計や企画する段階からセキュリティを必然として考慮する思想であり、
バイデザイン(by design)の対義語はバイチャンス(by chance)=偶然である。
IPAの説明
セキュリティ・バイ・デザインとは「情報セキュリティを企画、設計段階から組み込むための方策」で内閣サイバーセキュリティセンター(NISC)により定義されている。開発プロ セスの早い段階からセキュリティを考慮することで、開発するシステムのセキュリティを 確保するという考え方である。
従来のような後付けでセキュリティ機能を追加したり、出荷直前になってセキュリティ ツールを実行していては、手戻りが多発したり、結果的に開発コストが多くかかってしまう 可能性がある。開発の早い段階でセキュリティ対策を行うことで、手戻りが少なく、コスト 削減に繋がり、保守性の良いシステム・ソフトウェアの作成につながる。https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2022/ngi93u0000002kef-att/000100451.pdf
ITを活用した運用にもセキュリティバイデザインの考え方は有効
システムそのものだけでなく、DX推進などデジタル技術を用いた運用に関してもセキュリティバイデザインの考えは浸透してきつつある。
現状ではDX推進のセキュリティバイデザインは、システム同士の連携で生じるリスクを元にした観点にとどまっており、DX推進による行動変容に由来する運用上の負のリスクに関しては考慮されていない。
DXを推進することが難しいのはこの行動変容に由来する運用上のリスクが予測できないからと筆者は考えている。
例えば、DXとしてのリモートワークでも述べたがリモートワークは行動変容をともなって企業競争力に寄与すると考えられる一方で、生産性を落としていると認識する企業は出社回帰に移行している。
DX推進の行動変容に伴うリスクがある程度可視化ができればこれは解決すると思われる。
筆者の本業は、システム機器等のログやテキストをもとに行動変容で起こるリスクの可視化をすることだ。日々の運用している中で発見されたリスクをユーザーに知らせて改善を促すので、アジャイル型で運用改善が可能になる。
サイバー攻撃対策と並行して、DXの行動変容や運用によるリスクをを視野に入れたセキュリティバイデザインもこれからは重要になると考えている。
1 thought on “運用のセキュリティバイデザイン”