用語集 › 🔒 セキュリティ › セキュリティバイデザイン
【せきゅりてぃばいでざいん】

セキュリティバイデザイン とは?

💡 セキュリティは後から塗るペンキじゃなく、基礎に練り込むコンクリート
📌 このページのポイント
セキュリティバイデザイン vs 後付けセキュリティ セキュリティバイデザイン 設計 脅威モデリング 開発 セキュアコーディング テスト セキュリティテスト 運用 安全に稼働 後付けセキュリティ 設計 セキュリティ未考慮 開発 機能優先 テスト 動作確認のみ 運用後に対策 高コスト・手戻り 設計段階の修正: コスト 1x 運用後の修正: コスト 6x以上
セキュリティバイデザインのイメージ
ひよこ ひよこ

セキュリティバイデザインって、セキュリティを最初から考えるってこと?

ペンギン先生 ペンギン先生

その通り!家を建てるときに後から防犯カメラを付けるんじゃなくて、設計図の段階から「ここに鍵をつけよう」「この壁は防火にしよう」って考えるようなものだよ。

ひよこ ひよこ

後からセキュリティを追加するのじゃダメなの?

ペンギン先生 ペンギン先生

できなくはないけど、コストが桁違いに増えるんだ。IBMの調査では、設計段階で見つけたセキュリティの問題を修正するコストは、本番稼働後に修正するコストの6分の1以下だと言われているよ。

ひよこ ひよこ

具体的にはどんなことをするの?

ペンギン先生 ペンギン先生

まず脅威モデリングで「どんな攻撃があり得るか」を洗い出す。次に最小権限の原則で「必要最低限の権限だけ付与する」設計にする。さらにデフォルトセキュアで「初期設定が安全な状態」にしておくんだよ。

ひよこ ひよこ

デフォルトセキュアって例えばどういうこと?

ペンギン先生 ペンギン先生

例えば、新しいユーザーアカウントを作ったとき、初期状態では最低限の権限しかない状態にしておくこと。「全部許可」がデフォルトだと危険だけど、「全部禁止」がデフォルトなら必要なものだけ許可していけばいいんだよ。

ひよこ ひよこ

開発者全員がセキュリティに詳しくなきゃダメってこと?

ペンギン先生 ペンギン先生

理想はそうだけど、現実的にはセキュリティチャンピオン制度(各チームにセキュリティに詳しい人を配置)やセキュアコーディングガイドラインの整備が効果的だね。DevSecOpsの考え方とも深く繋がっていて、CI/CDパイプラインセキュリティテストを自動で組み込むのも重要だよ。

ペンギン
まとめ:ざっくりこれだけ覚えればOK!
「セキュリティバイデザイン」って出てきたら「最初からセキュリティを設計に組み込むこと」と思えればだいたいOK!
📖 おまけ:英語の意味
「Security by Design」 = 設計によるセキュリティ
💬 by Design は「設計によって」という意味。最初から意図的にセキュリティを組み込むという思想だよ
🔗 あわせて読みたい
← 用語集にもどる