フォーティネット・登坂恒夫がビジネス観点で考えるセキュリティ戦略

ソフトウェア開発の外部委託、ウォーターフォール型……その課題を解決するために

【提言】進まない「Secure by Design」の浸透 日本企業に必要な変革とは(後編)

文●登坂恒夫/フォーティネットジャパン(寄稿) 編集●ASCII

  • この記事をはてなブックマークに追加
  • 本文印刷

ソフトウェア開発において、企画/設計段階からセキュリティ対策を組み込む「Secure by Design」のアプローチに注目が集まっています。ただし、国内企業でSecure by Designをすでに実践している企業は1割に満たず、試行中/検討中の企業もごくわずかです。Secure by Designを浸透させるにはどのような変革が必要なのか、元IDC Japanアナリスト、現フォーティネットジャパン Field CISOの登坂恒夫氏による提言です。

※この記事は後編記事です。前編記事からお読みください。

日本企業の実態:Secure by Designの取り組みは進んでいない

 前編記事では、欧州や米国、そして日本において、ソフトウェア開発における「Secure by Design」の取り組みが社会的な要請になっており、そのための法規制、ガイドラインの策定も進んでいることを紹介しました。

 しかし、少なくとも日本国内においては、Secure by Designの取り組みはまだ「浸透していない」と言わざるを得ない状況です。

 IPA(情報処理推進機構)が2025年2月に公開した「2024年度ソフトウェア動向調査」では、国内企業におけるSecure by Designの導入状況を調査しています。

 同調査によると、Secure by Designを「すでに導入している」企業は、全体の1割未満にとどまります。さらに、「試行中」もしくは「検討中」の企業もそれぞれ1割未満であり、全体としてSecure by Designが浸透していると言える状況には至っていません。

Secure by Designの導入状況。「導入済み/試行中/検討中」を合計しても、全体の2割強でしかない(出典:IPA)

 なぜSecure by Designは浸透していないのでしょうか。その理由として考えられる課題を、同じIPAの調査から挙げてみましょう。

 まずは、ソフトウェア開発体制と統制(ガバナンス)の問題です。

 IPA調査によると、ソフトウェアシステムの開発を「ほぼすべて内製化している」国内のユーザー企業はわずか4.0%にとどまり、大半が「一部もしくはすべての開発を外部委託している」状況です。

 すべてを内製化している場合は、自社で開発環境の統制を取ることができるため、Secure by Design原則に基づく設計/開発環境が構築できます。しかし、一部もしくはすべてを外部委託している場合は、委託先まで統制を取ることは容易ではありません。

 そのため、Secure by Designを実現するためには、外部委託先にもその原則を徹底させること、さらには外部委託を減らして内製化を進めることが必要となります。

ソフトウェア開発の内製化状況(出典:IPA)

 また、Secure by Designを実現するためには、現状のシステム開発手法も問題となります。

 IPA調査によると、ウォーターフォール型のシステム開発手法を用いている企業は、「一部使っている」を含めると全体の半数近くに上ります。しかし、ウォーターフォール型開発手法には、初期段階でのセキュリティ要件定義の難しさや、開発プロセスの柔軟性の欠如、そしてセキュリティ専門家の人材不足といった課題があります。

 たとえば、ウォーターフォール型では「要件定義-設計-実装-テスト-運用」と段階的に開発工程が進むため、後工程になってセキュリティ要件の見直しが発生すると工程全体の見直しが発生します。さらに、そもそも現状では、初期段階でセキュリティ専門家が関与すること自体が少ないため、要件定義の段階で十分なセキュリティ要件を定義することも困難です。

ウォーターフォール型開発手法の導入状況(出典:IPA)

 一方で、アジャイル型開発手法を進化させたDevOps開発手法の導入状況を見てみると、ベンダー企業を除けば全体に導入率は低い状況です。

 DevOpsでは、より早い段階でセキュリティ対策を講じる「シフトレフト」の考え方や、それを実践する「DevSecOps」の開発体制が提唱されています。これらはSecure by Designの考え方と共通する点があり、Secure by Designの実践にもつながります。したがってDevOpsの導入を進めることで、Secure by Designによるソフトウェア開発に近づくことになります。

DevOps(DevSecOps)開発手法の導入状況(出典:IPA)

Secure by Designの浸透には、ソフトウェア開発環境の変革が必要

 それでは、ソフトウェア開発にSecure by Designを浸透させていくには、現状をどう変えていけばよいのでしょうか。

 まずは、ソフトウェア開発を外部委託している場合の対応です。

 前述したとおり、国内ユーザー企業の大半は開発を外部委託していますが、委託先企業のセキュリティ統制や、ソフトウェア開発環境のセキュリティ対策を十分に把握することは難しく、セキュリティリスクが高まります。そのため、外部委託先を選定し、ソフトウェアサプライチェーンを構築していく段階から、Secure by Designの考え方を適用する必要があります。

 具体的には、デジタル庁の「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」に示されている「セキュア調達」に基づいて外部委託先を選定し、委託先に対するセキュリティ調達仕様の策定と、責任範囲の明確化を実施すべきです。ここでは、セキュリティ管理体制やコンプライアンスを精査する「セキュリティデューデリジェンス」の実施、納品されるソフトウェアを構成するコンポーネントやその依存関係をリストしたSBOM(ソフトウェア部品表)の提供、Secure by Defaultの実施などを、外部委託先に求めることになります。

「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」の「セキュア調達」(出典:デジタル庁)

 また、開発手法に応じたSecure by Designの組み込みも必要です。

 たとえば、ウォーターフォール型の開発手法でも、開発の上流工程(初期段階)からセキュリティ専門家をチームに加え、十分なセキュリティ要件を定義する、セキュリティテストを徹底するなどの対策を行えば、Secure by Designの考え方を実装することが可能です。

 さらに、CI/CD(継続的インテグレーション/継続的デリバリー)を取り入れ、セキュリティテストも含めたテストとレビューを繰り返すことで、セキュリティの強化につながります。CI/CDはDevOpsの重要な要素ですから、ここからDevOpsへ、さらにDevSecOpsへと発展させることも可能でしょう。

 最近ではノーコード/ローコードの開発ツールや、生成AIによるノーコードでのソフトウェア開発も増えています。そうした開発手法では、「OWASP Low-Code/No-Code Top 10」で示されているような、潜在的なソフトウェアの脆弱性がソフトウェアに混入するリスクが高まっています。そのため、Secure by Designの考え方を取り入れ、ソフトウェア開発ライフサイクルのすべての段階において、潜在的なソフトウェア脆弱性を特定して解決することが必要です。

 もうひとつ、アジャイル開発手法が取り入れられたクラウドアプリケーション開発では、Secure by Designの考えに基づく開発ソリューションとして、CNAPP(Cloud Native Application Protection Platform)の導入が有効です。CNAPPは、クラウドネイティブアプリケーションを保護するための包括的なセキュリティプラットフォームであり、アプリケーションの脆弱性を静的/動的にスキャンする機能、クラウドセキュリティポスチャーを管理する機能、クラウドワークロードを保護する機能など、多様なセキュリティコンポーネントで構成されています。

提言:ソフトウェア開発企業の経営層は「6つの取り組み」の実行を

 本稿の最後に、Secure by Designの浸透に向けて、ビジネス観点からの提言をまとめておきましょう。

 ソフトウェアを開発する国内企業は、ソフトウェアのセキュリティと品質の維持が単なる技術的な問題ではなく「経営上の課題」であることを認識し、顧客のセキュリティニーズに積極的に対応する必要があります。そのために企業経営層は、財務報告書で自社におけるSecure by Designの取り組みを記載し、そのスタンスを明らかにすべきでしょう。また企業の取締役会は、ソフトウェア製品の開発ライフサイクル全体におけるセキュリティ対策と、それが顧客のセキュリティに与える影響についての情報提供を求め、経営層全体でその問題を共有するべきです。

 実際に、米国CISAが中心になってまとめた国際共同ガイドライン「ソフトウェアにおけるSecure by Designの原則とアプローチ」では、原則の1つとして「経営層のリーダーシップ」を掲げており、企業経営層に対して、以下の6つの取り組みを実行するようアドバイスしています。

(1)企業の財務報告書に、Secure by Designへの取り組みを詳細に記載すること。
(2)CISOは取締役会で定期的に報告すること。セキュリティ態勢や健全性の報告だけでなく、製品セキュリティの実情や顧客のセキュリティに与える影響も報告すること。
(3)Secure by Design担当管理職の権限を強化すること。
(4)顧客のセキュリティ向上に資する取り組みに対して、インセンティブ制度を設けること。
(5)社内に部門横断的なSecure by Design担当組織を設けること。
(6)顧客組織においても、セキュリティに関する情報提供や議論を行うこと。

 ソフトウェアを開発する国内企業の経営層が、経営課題の1つとして「Secure by Design」に取り組むことで、顧客からの信頼醸成や市場競争における優位性の向上につながるだけでなく、日本社会全体としてSecure by Designが浸透していくものと考えます。

「ソフトウェアにおけるSecure by Designの原則とアプローチ」(出典:CISA)

Fortinet トップへ

この記事の編集者は以下の記事もオススメしています