「システム開発や運用の現場で持ち上がっている,セキュリティに関する課題は何か」——。記者は6月半ば,システムの現場担当者と直接この問題について話し合う機会を得た。日経ITプロフェッショナルの8月号(8月1日発行)で,セキュリティ対策のチェックポイントを紹介する特集記事をまとめるため,数カ月前から人づてを頼って取材をお願いしていたのだ。

 日々の仕事の合間を縫って,集まってくれたのは全部で8人。コンサルティング会社やシステム・インテグレータなどに所属しているコンサルタント,システム開発部門のマネジャ,運用部門のマネジャ,技術統括部門のマネジャ,ソフトウエア開発会社の社長など,役職はさまざまだ。

 名刺交換が終わり,取材の趣旨を説明した後,8人に現状を語ってもらったところ,企業情報システム開発におけるさまざまなセキュリティ対策の課題が浮き彫りになってきた。数多く上げられた課題のなかから,いくつかに絞って紹介しよう。

ユーザー企業担当者に重要性や妥当性の理解を得るのが難しい

 居合わせたメンバーが満場一致で合意した最大の課題は,システム開発のなかでセキュリティ対策の重要性と妥当性をユーザー企業になかなか理解してもらえないことだ。システム開発の現場では,機能や性能に比べてセキュリティ対策の要件が,あまり重視されていないのだ。

 データ・センター事業者の運用部門でマネジャを務めるA氏は,「ユーザーが出すRFP(提案依頼書)の中には,機能と性能に対する要件は書かれていても,セキュリティ対策に関する要件がないことが多い」という。A氏はセキュリティ要件をRFPに盛り込むよう,ユーザー企業の担当者に要請することもしばしばあったという。

 システム・インテグレータの技術統括部門でマネジャを務めるB氏は,「要件定義を進めていく中でなかなか決まらないのがセキュリティ要件だ」と指摘する。ユーザー企業の担当者はどのレベルまでセキュリティ対策を講じればよいかが明確にできないし,ベンダー担当者もどのレベルで対策を講じればユーザー企業の要望を満たせるか見極め切れないからだ。その結果,「セキュリティ対策の方針を固めきれないまま,システム開発を進めてしまうことが少なくない」(B氏)。

ベンダー側もユーザー企業への説得に手詰まり

 「どれだけのコストをかければどれだけのセキュリティ対策が可能か」というセキュリティ対策にかけるコストの妥当性をベンダー担当者が合理的に説明できないことも課題になっている。

 システム・インテグレータの開発部門のマネジャを務めるC氏によると,見積もり段階で「この費用でセキュリティ対策を講じてほしい」とユーザー企業から要請を受けても,セキュリティ対策費用が不足してしまうことが少なくないという。「ユーザー企業が求める対策を講じるのにこれだけの費用がかかりますとユーザー企業にはっきりと示せれば問題はない。だが,現状では明示できるような参考資料がないため,ユーザー企業の担当者が納得できるように説明するのは難しい」とC氏は打ち明ける。

 ベンダー側の問題としてもう1つ大きなものは,同じベンダーのなかでもSEやマネジャによってセキュリティ対策に対する関心に差があることだ。前出のB氏は,「担当するシステムで不正アクセスなどの被害を経験したSEに対して,Webアプリケーションに脆弱性を組み込まない設計方法について説明すると高い関心を持って聞いてくれる。だが被害を経験したことがないSEに説明しても,『何を言っているんですか』といった冷ややかな反応しか返ってこない」とこぼす。

 この課題に悩むのはB氏が所属する会社に限った話ではない。D氏が務めるコンサルティング会社でも,システム開発プロジェクトによってセキュリティ対策のやり方はまちまちだという。「各プロジェクトで差が出ないように,セキュリティ対策の検討方法などをドキュメント化して守ってもらうようにしている。だが,それでもプロジェクトに参加するエンジニアのスキルによって,対策に差が出てしまう」とD氏は話す。

セキュリティ対策の切り札「セキュリティ・アーキテクチャ」

 グループ・インタビューによって,「ユーザー企業の担当者に対してセキュリティ対策の重要性や,対策にかかるコストの妥当性を示すのが難しい」,「SEやプロジェクト・マネジャがセキュリティ対策に寄せる関心度は個人差がある」といった課題が明らかになった。

 こうした課題を解決しようという取り組みは始まっている。例えば,NPO法人,日本ネットワークセキュリティ協会(JNSA)は今年5月,セキュリティ対策の内容とコストの妥当性を明確にする研究を本格的に開始した。

 具体的には,ベンダーがユーザー企業の要望に沿ってセキュリティ対策を講じられるように,RFP(提案依頼書)に盛り込むべきセキュリティ要件策定のガイドラインをまとめていく。来年3月までにWebで公開することを目指す。

 RFPで「不正アクセスに遭わないこと」という仕様を提示されても,ベンダー側は何をどう実装すればよいかつかみにくい。そこで,ユーザー企業とベンダーの各担当者がイメージをすりあわせられるように,RFPをまとめるためのガイドラインを作る。「共通認識を持てるようになれば,作業量の大まかな見積もりが可能となり,ベンダーが求めるコストの理由や妥当性をユーザー企業の担当者にも理解してもらえる」(JNSAの安田直義事務局長代理)

 セキュリティ対策コストの妥当性を明確にすることを目指すベンダー中心の研究団体も,今年4月に発足した。情報セキュリティ・アーキテクチュア研究協議会である。セキュリティ対策製品を組み合わせることで,どれくらいのコストでどれくらいの効果を見込めるかといったひな型をユーザー企業に提示できるようにする。

 一方,エンジニア個人の経験やスキルに頼っている現状を打開するためのセキュリティ対策の手法も登場してきた。システムを開発するうえで必要なセキュリティ対策の全体像を体系立てて整理する「セキュリティ・アーキテクチャ」である。すでに,日本IBMやみずほ情報総研など,いくつかのベンダーがこの考え方を採用したセキュリティ対策に取り組んでいる。

 エンジニア個人のノウハウに頼った対策立案では,抜けや漏れが起こりがち。セキュリティ設計の仕様書である「セキュリティ・アーキテクチャ」に基づいて,システム全体のセキュリティ対策を検討することで,対策の抜けや漏れを防ぐ効果が見込める。さらに,ユーザー企業にセキュリティ対策の重要性やコストの妥当性を説明する際にもセキュリティ・アーキテクチャが重要な基礎資料となる。

 ユーザー企業にセキュリティ対策の重要性やコストの妥当性を明確に説明する,エンジニア個人の経験や勘に任せない——。4月の個人情報保護法の施行以降も相変わらず頻発している情報漏えい事件を防ぐためには,すべてのITベンダー,エンジニアにこうした姿勢が求められている。日経ITプロフェッショナル8月号の特集記事では,こうした観点でITエンジニアに必要なセキュリティ対策のチェックポイントを紹介した。セキュリティ・アーキテクチャの考え方についても詳しく解説している。ぜひご覧いただきたい。

(西村 崇=日経ITプロフェッショナル)