「第7回:「暗号化」すれば安心?」はこちら>
「第8回:クラウド利用時のセキュリティ確保」はこちら>
「第9回:サプライチェーンのセキュリティを守るために」はこちら>
すべてをイチからつくるわけではない
セキュリティの確保はソフトウェア開発時から考慮しておくことが重要です。かつては高品位でコスパの良いソフトウェアを開発するために、企画・設計から実装・運用に至るプロセス――ソフトウェア開発ライフサイクル(SDLC:Systems Development Life Cycle)が開発チーム内で共有されていたものですが、これがセキュアソフトウェア開発ライフサイクル(SSDLC:Secure Software Development Lifecycle)となりますと、本番環境に移行する直前のチェックだけでなく、開発の各段階でセキュリティリスクを想定したテスト・検証によるセキュリティ確保が求められます。
効率的にプログラムを開発するために、各種フレームワークやライブラリが活用されています。OSS(Open Source Software)の中にも素晴らしいものは多く、各方面で活用されています。
しかしながら、公開されているリポジトリ(ソースコード共有サイト)のイメージやライブラリ、モジュールなどを利用してプログラムを作成した場合、もしその中にマルウェアが混入したり、脆弱性を有することが判明したりすると、大変です。
このようなソフト部品に依存しているソフトウェア自体がサイバー攻撃を受けたり、マルウェアに感染して乗っ取られてしまうおそれもあります。暗号資産(仮想通貨)の採掘(クリプトマイニング)が勝手に行われてしまう、ダイナミックDNS(Domain Name System)が埋め込まれて不正サイトに誘導される、という被害を受けることにもなりかねません。
ソフト部品に起因するソフトウェアサプライチェーン攻撃の多発を受け、脆弱性を可視化するために部品やパッケージの依存関係をまとめたソフトウェア部品表(SBOM:Software Bill of Materials)を導入する取り組みが経済産業省を中心に進められています。
また、内閣サイバーセキュリティセンター(NISC)では、政府機関の情報システム調達の際に情報セキュリティ対策を講じるため、「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル」を公表しており、こちらも参考になるかと思います。
ソフトウェアサプライチェーンのセキュリティ確保
2023年4月、OpenSSF(Open Source Security Foundation※)が公開した、ソフトウェアのサプライチェーンセキュリティ向上のための仕様「SLSA(サルサ:Supply-chain Levels for Software Artifacts)」では、特にLinuxなどのOSSを改ざんなどの脅威から守るためのフレームワークを規定しています。
※ The Linux Foundation傘下で、ソフトウェアサプライチェーンにおけるOSSの安全な活用をリードしている団体。日立製作所も参画している。
米国の非営利団体、CIS(Center for Internet Security)が昨年公開した「CIS Software Supply Chain Security Guide」も、ソフトウェア開発のプロセス全体において脆弱性が生じることを防止し、セキュリティを確保するためのガイドラインです。ソースコードの変更には複数の正規ユーザーによる検証が必要な点など、ソースコード管理(※)の具体的な確認事項がまとめられており、DX推進におけるプログラム作成時に参照したいものです。
※ SCM:Source Control Management
DXとBX、データ標準
そのほか、DXを推進する際に留意すべき、セキュリティに関する規格やスタンダードにはどのようなものがあるのでしょうか?
DXの前提として、業務の大幅な見直しや課題解決が必要となるBX(Business Transformation)を進めておく必要があるかもしれません。
BXは、ビジネスモデルの変革(BMX:Business Model Transformation)と、その基盤(組織や制度、リソースなど)の変革(BPX:Business Platform Transformation)の2つに分けて説明されることも多くあります。
BXを推進するためにERP(Enterprise Resource Planning)に代表される基幹システムが必要だ――と言われることも多いかもしれませんが、このようなシステムを導入するための取り組みや、単なる事務処理のOA化、ペーパーレス化、IT化がすなわちDXである、と思われる方も多いのかもしれません。
一方、経済産業省が「デジタルガバナンス・コード2.0」で掲げているように、SX(Sustainability Transformation)やGX(Green Transformation)と一体となったDX推進も求められるようになってきています(なお、経済産業省では「中堅・中小企業等向け『デジタルガバナンス・コード』実践の手引き2.0」も作成していますので、その動向にも注意しましょう)。
DXは確かなビジョンがあってこそ成功するものであり、単にアナログデータをデジタル化することが経営変革、というわけではありません。しかし、データの処理や流通を円滑に行うためには、データの標準化・規格化が必要となります。
組織の枠を超えたデータ流通が想定されるのなら、そのデータが処理されやすいように標準的なデータ形式へ変換することを考慮しなければなりません。
あるいは最初から、既存のフォーマットに即したデータ処理や保存が必要となります。コンピュータ間の情報交換を行いやすくするための言語としてXML(Extensible Markup Language)があります。基本的な構文規則を共通とし、目的の用途向けの言語に拡張して利用されるものです。
こういったデータ標準・言語を用いることでデータの再利用や国際的なデータ流通が可能となりますが、取り扱うデジタル人材の育成も重要となります。
ソフトウェア開発やAI導入、DXリテラシー教育など、マインドやスキルの成長に関するサービスも多く提供されていますが、セキュリティの確保に重点を置いた人材育成に力を注いでいただきたいものです。
クラウドセキュリティやプライバシー保護にも留意を
DXを効率よく進めるため、特にコスト面やスピードの理由からクラウド利用が増大しています。
クラウド上には、標準化されどこでも使える形で膨大なパーソナルデータが保存されています。セキュリティを確保しつつ的確に管理・流通させられるよう、関連規定を遵守する必要があります。代表例として、次のようなものがあります。
・ISMS(Information Security Management System):ISO/IEC 27000
→ 情報セキュリティマネジメントシステムに関する規定
・ISO/IEC 27017、ISO/IEC 27036-4
→ クラウドサービスセキュリティと認証に関する規定
・ISO/IEC 29100、ISO/IEC 27018 、NIST SP800-53
→ プライバシーと個人情報の保護に関する規定
業界標準や国際標準、デファクトスタンダードも
ソフトウェア開発に各種スタンダードが存在するのは当然ですが、業種ごとに規定されるスタンダードもあります。例えば自動車のサイバーセキュリティ対策なら「ISO/SAE21434」、自動車製造工場の制御システムなら「IEC62443」が定められています。UNECE(国連欧州経済委員会)規則の「UN-R155/UN-R156」も自動車関連の規定です。
米国立標準技術研究所(NIST)が策定する「NIST SP800」シリーズは、セキュリティ対策やマネジメントに関する一連のガイドラインです。準拠しているかどうかを問われるケースもあり、注意が必要です。
「第11回:国家・自治体におけるセキュリティ対策」はこちら>
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。