ナビゲータのEVEです。
つい最近まで、 DX についてまとめていましたが、セキュリティについて解説するといいながら、DXについて書いてきました。ただ、その理由について書いていなかったので、その理由について本日は書きましょう!
[セキュリティ・バイ・デザイン]
現在多くのプロジェクトで、システム設計・製造時に、 セキュリティ・バイ・デザイン と言われています。セキュリティ・バイ・デザインとはどんなことを指しているのか ChatGPT に解説をしてもらいましょう!
以下に、セキュリティバイデザインの主要な原則を紹介します。
?最小権限の原則(Principle of Least Privilege):
?防御の層(Defense in Depth):
システムを複数のセキュリティ層で保護し、ひとつの防御が突破されても他の防御で守るという考え方です。例えば、ファイアウォール、侵入検知システム、データ暗号化などが考えられます。
?セキュリティの早期実装(Security by Design and Default):
セキュリティを設計段階から組み込み、デフォルト設定でもセキュリティが確保されている状態にすることです。これにより、ユーザーがセキュリティ設定を変更しない限り、安全が保証されます。
?脆弱性管理(Vulnerability Management):
システムの設計段階から脆弱性を特定し、修正することが重要です。これにはコードレビューやセキュリティテストの実施が含まれます。
?セキュリティの可視化(Security Visibility):
セキュリティの状態を常に監視し、ログやアラートを使って異常を検出し、対応する仕組みを設けることです。
?安全なデフォルト設定(Secure Defaults):
ソフトウェアやシステムが出荷時に安全な設定であることを保証することです。これにより、ユーザーが設定を変更する前に、セキュリティが確保されます。
?データ保護(Data Protection):
データを暗号化し、適切に保護することです。データの機密性や整合性を確保するために、データベースや通信経路での暗号化が推奨されます。
?セキュリティのテストとレビュー(Security Testing and Review):
開発過程でセキュリティテストを行い、設計や実装におけるセキュリティ上の問題を早期に発見し修正することです。定期的なセキュリティレビューも重要です。
セキュリティバイデザインを採用することで、セキュリティに関する問題を事前に防ぎ、システムのリリース後も安全を維持するための基盤を築くことができます。
ChatGPTの発言を補足すると、途中からセキュリティを追加することもできるのですが、かなり難しく、かつ費用もかかります。Webシステムの場合、 WAF などの導入などを考えられるのですが、 ゼロトラス ト的な考え方でいうと、システム自体にセキュリティを実装するのが本来のあり方です。そのため、システムを設計する段階から、セキュリティを考慮に入れて開発したほうがいいのはいうまでもありません。
私もかつて、 Prototype EVE において、2004年にシステムリリース後、システムを停止し2006年〜2009年までセキュリティロジックを追加したという経験があります。その約3年間の改修後感じたのは、最初から作り直したほうがよかったということです。
その時の経験を踏まえたうえで発言させていただくと、是非セキュリティ・バイ・デザインは実践してほしいです。
[DXとセキュリティ]
DXを進めるうえで、 レガシーシステム が問題になっています。そのため、レガシーシステムを更改することを検討するのですが、その時に機能を踏襲し、更改するのではなく、 セキュリティを最初から考慮したうえでシステムを開発しましょう というのが、 情報処理安全確保支援士 からの提案になります。そのため、今まで長々とDXについて話してきました。余計なことをたくさん書いた気もしますが、現状調査だとご理解ください。
[あとがき]
以上が、今まで長々とDXについて書いた理由です。すっきりしましたでしょうか?まっ、あまり気にしていないとは思いますが、一度書いたことなので、その理由について書かせてもらいました。
以前、会社面接において、セキュリティをやりたいと面接官に話したことがありましたが、その時に、セキュリティのどこをやりたいか聞かれたことがありました。その時点では、情報処理安全確保支援士試験に合格しているわけでもなく、情報セキュリティ全体について勉強をしていたので、セキュリティ全般と回答しましたが、ちょっとこの回答に問題があるような気がします。医者を例に考えると分かるのですが、専門分野というのがあります。セキュリティといっても範囲が広く、専門分野を決めていないと、いい加減なコンサルティングになってしまうかもしれません。それを念頭に考えた場合、私の場合は、セキュリティ・バイ・デザインを1つの分野としたいと思います。
では、また!!!