通常のセキュリティ対策は、ソフトウェアなどに脆弱性が見つかったとき、セキュリティパッチをあてるなどで保護します。それに対して、セキュア・バイ・デザインはソフトウェアなどの開発段階からサイバー脅威を意識し、対策を実装することやその概念です。米国、英国、オーストラリアをなどの各国当局が、セキュア・バイ・デザインの原則を公開しているほか、日本政府もその対策のために動いています。

セキュア・バイ・デザインの概念

2024年の四半期だけでも、ソフトウェア製品に関する脆弱性の届出件数は85件、ウェブアプリケーションに関する届出は158件の合計243件でした。（出典：ソフトウェア等の脆弱性関連情報に関する届出状況[2024年第1四半期（1月～3月）]）

ソフトウェアやウェブアプリに脆弱性が見つかれば修正プログラムをリリースし、アップデートすることでサイバー攻撃のリスクを軽減しますが、セキュア・バイ・デザイン（セキュリティ・バイ・デザイン）は、ソフトウェアやシステムなどの開発時からセキュリティを考慮し、利用者をサイバー攻撃から守るという考え方です。後付けでセキュリティ機能を追加するような従来のやり方だと、手戻りやセキュリティパッチのリリースが多発し、結果として開発費用が大きくなってしまいます。セキュア・バイ・デザインは、開発時の工程が増える代わりに、結果として、開発者の負担も減らすことができるのです。

欧米諸国での施策

アメリカのCISA（Cybersecurity and Infrastructure Security Agency）と、FBI、NSA（アメリカ国家安全保障局）、オーストラリア、カナダ、英国、ドイツなどの各パートナーは「セキュア・バイ・デザイン/デフォルト原則」ガイドブックを公開しています。

このガイドブックでは、セキュリティの負担を顧客だけに押し付けるべきではない、根本的な透明性と責任説明を果たす、セキュア・バイ・デザインの目標を達成するための組織構造とリーダーシップを構築することなどを目標とするように伝えています。

セキュア・バイ・デザイン/デフォルト原則｜CISA
https://www.cisa.gov/sites/default/files/2023-10/SecureByDesign1025508c.pdf

SBD要件策定マニュアル

SBD: Security By Designの考え方は、最近できたものではなく、日本でも、政府機関が平成19年3月に有識者やベンダーとともに「情報セキュリティを企画・設計段階から確保するための方策（SBD: Security By Design）に係る検討会」を設置し、平成23年には「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」を発表しています。

その後何度かの改定を経て、令和4年に最新版を発表しています。

これは政府機関の情報システムで、情報セキュリティ対策を適切に講じるためのマニュアルですが、民間でも役に立つ情報が掲載されています。

システムやソフトウェアを利用する側としても、この内容が頭に入っていればシステムベンダーに依頼する際、要点を抑えられるのではないでしょうか。ただセキュリティだけのことを考えればいいのではなく、なんのためにシステムを導入するのか、というところから検討すればセキュリティ範囲がおのずと見えてくるのです。

同マニュアルの内容を、かいつまんでみていきましょう。

情報システムのセキュリティ要件の策定には、まずセキュリティに影響を与える要因の洗い出しが必要だと述べています。何がリスクになるかということの前に、業務要件を検討するところから始めるわけです。

まず、システムの名称やシステム導入のための目的をはっきりさせます。業務効率の向上を目指すのか、コストの削減を目指すのか。続いて、その目的のためにどんな業務を行うのかをまとめます。さらに、その業務を行う部署、人物などの主体を洗い出します。

特定の担当者のみに負荷がかかっていないか、などが見えてきます。上記で定めた内容から、システム化の対象とする業務を決定します。これが、セキュリティ要件の範囲になります。

細かいところまで洗い出しができたら、システム構成図を作成します。それを以下のように区分、対策方針、対策要件、優先順位などをつけていきます。

侵害対策：通信回線対策（通信経路の分断、不正通信の遮断、通信のなりすまし防止、サービス不能化の防止）、不正プログラム対策、セキュリティ対策。
不正監視・追跡：ログ管理や不正監視。
アクセス・利用制限：認証、アカウント管理。
データ保護：機密性。安全性の確保。
サプライチェーン・リスク：外部委託への対策、調達する機器等に不正プログラムが組み込まれないための対策。

ひとつひとつはごく基本的なことです。業務に沿ったシステムやソフトウェアを導入し、それを誰がいつどのように使うのかがはっきりしていれば、セキュリティ対策もそこを重点的に行えばいいということです。

政府機関対策関連|NIS
https://www.nisc.go.jp/policy/group/general/sbd_sakutei.html

CISAなどのガイドブックでは、「セキュリティの負担を顧客だけに押し付けるべきではない」とありましたが、逆もまたしかりで、利用者側でもベンダー任せにすべきではありません。業務内容は、ベンダーより利用者側の方が把握できているからです。

まとめ

セキュア・バイ・デザインはシステムやソフトのセキュリティ対策を製品開発の段階で行う
CISAと欧米諸国ではセキュア・バイ・デザインのガイドブックを2023年に公開
NISCのマニュアルは、政府機関システム向けだが、民間企業にも有用