サイバー攻撃件数や製造業が標的にされる割合が増加し、手段も巧妙化している昨今(※)。ファイアウォールやDMZ(非武装地帯)といった従来の対策に加え、重要性を高めているのがシフトレフト、セキュリティバイデザインの実施です。
なぜ、それらの重要性が高まっているのか。具体的にどのように実施すべきなのか。
知りたいポイントを簡潔にまとめてお届けします。
※…詳しくは『深刻化するサイバー攻撃の脅威』『製造業へのサイバー攻撃が増加する理由と対策のポイント』といったレンテックインサイトの別記事もご参照ください。
「シフトレフト」は、「企画→設計→実装→テスト→運用……」と続くシステム開発ライフサイクルの初期、すなわち直線状で手順を表した時のレフト(左)にセキュリティにかかわる工程(脆弱性診断、ドキュメントレビューなど)を前倒しすることを意味します。また、「セキュリティバイデザイン」はシステムのデザイン(企画・設計)の段階からセキュリティ対策を組み込むことです。
また類似する用語に「DevOps(詳しくは『DevOpsで大切なこととは?』)」にSecurityを加えた「DevSecOps」も存在します。その名の通り、Development(開発)、Security(セキュリティ)、Operations(運用)を連携させ、開発スピードの加速とプロダクト品質の向上を同時に達成するのがこの概念。
シフトレフト、セキュリティバイデザイン、DevSecOpsのいずれにも共通するのが、“セキュリティはシステム開発の初期から組み込まれるべき重要事項であり、早くから取り組むことでセキュリティ性の向上とコストの削減といった複数のメリットが得られる”という考えです。
リリース直前のテストで重大なバグやセキュリティ対策漏れが見つかり、設計段階までの大きな手戻りが発生した……。
一貫した対応方針を定め、定期的な静的・動的テストで問題を解決しておくことで、このような事態は防げる可能性が高まります。結果として、低コストかつハイスピードでセキュリティ品質を高められることが期待できるのです。
デジタル庁が公開した『政府情報システムにおけるセキュリティ・バイ・デザインガイドライン|出典:デジタル庁 デジタル社会推進標準ガイドライン 』には、セキュリティバイデザインの実施工程として以下の8ステップが示されています。
まさに「DevSecOps」的なシステム開発の各ステップでセキュリティを一項目として一貫して取り扱う姿勢がここにあらわれています。
IPA(情報処理推進機構)の『セキュリティバイデザイン導入指南書』ではより現場での運用に即した視点で実施すべき取り組みがまとめられており、そこでセキュリティ設計で取り組むべきとして挙げられているのが、以下の三つです。
脅威を詳らかにし、それに応じたセキュリティ要件を明文化、最後にはアーキテクチャ(設計思想や仕組み)に落とし込むという手順を当たり前に組み込むことからまずはセキュリティバイデザインを始めましょう。
同資料ではシフトレフトの実践方法についても取り上げられており、CI/CDによるセキュリティスキャンの自動実施を用いた方法が紹介されています。OSS(オープンソースソフトウェア)の脆弱性管理など、自動ツールを重宝する場面は少なくありません。また、セキュリティを担う開発者による定期的なレビューや、セキュリティ検証済みのツール、ライブラリの導入なども効果を発揮するでしょう。
シフトライトは、運用を始めてからも“継続的”にセキュリティやセーフティ管理に取り組み続けることを意味します。リリース後も継続的にデータを取得することが可能な現代において、シフトライトもシフトレフトと同等に重要な事項です。
すなわち、セキュリティ管理に取り組むべきタイミングを前倒し、あるいは後ろ倒しするというよりも、プロダクトの企画から開発~リリース後までのライフサイクル全体に領域が拡張するというイメージこそが、現代のサイバーセキュリティ状況に即しているかもしれません。
このような可能性の広がりはときとして脅威となることもあり、DevSecOpsのネットワークをサイバー攻撃の端緒として利用しようとする動きもあるようです。セキュリティ設計の脅威分析において、それらにも事前に目を向けておくことが求められるでしょう。
情報セキュリティの品質向上とスピード向上、コスト削減などにつながるシフトレフト、セキュリティバイデザイン、DevSecOpsなどについて説明しました。
シフトレフトは本来セキュリティに用法を限るわけではなく、作業工程の前倒しや、エッジコンピューティングによるデータの早期分析などを指すこともあります。しかし、現在はセキュリティに絞った用法が支配的であり、それだけサイバーセキュリティの早期からの取り組みの効果に期待が集まっている証拠といえるでしょう