セキュリティ・バイ・デザインの実践アプローチ｜ビジネスロジックを守る「脅威モデリング」と「リスク分析」

近年、FinTech業界をはじめ、既存の事業と物理的なサービス、そしてデジタルを組み合わせた新たなデジタルサービスが普及してきました。これに伴い、現実の世界で犯罪行為を行っている犯罪者もここに着目し、金銭を目的とした犯罪行為のデジタル化が進んでいます。

こうした攻撃者により、システムの脆弱性だけでなく、「このサービスの手続きや仕様を悪用すれば、どう犯罪ができるか」というビジネスロジック（業務論理）の穴を攻略する「サイバー利用犯罪」が増えています。 単なるハッキング技術の問題ではなく、サービスの「振る舞い」そのものの不備が問われているのです。

これまでのシステム開発は、企業側が設計と要件定義を行った後にシステムインテグレーターに開発作業を依頼し、その後、リリース時に品質を保てているかどうかを確認するために脆弱性診断を行うのが基本的なモデルでした。特に、開発を外注することの多い日本では、脆弱性診断に比べると設計段階でのレビューはまだまだ実施されるケースが少ないように思います。

ただ、デジタルサービスの広がりに加え、生成AIの登場によって状況は変わらざるを得ないと思っています。自社開発の比重が高まり、速度感が高まることに加え、システムの専門家だけでなく、ビジネスサイドなどさまざまな方が開発に絡んでくることになるでしょう。そうなると自ずとセキュリティ的な穴も生まれやすくなります。このため、早期の段階でセキュリティを考慮するセキュリティ・バイ・デザインやシフトレフト、DevSecOpsといった活動を加速させたいという相談も増えてくると感じています。

セキュリティ・バイ・デザインとは、企画や要件定義、設計からコーディング、保守に至るまで、すべての段階でセキュリティを意識して取り組むべき、という考え方です。

ただ実感として、現在の支援策のほとんどはコーディングの領域のみを対象としており、要件定義や設計、アーキテクチャの確認といった上流の部分が抜け落ちています。ここがカバーされていなければ、デジタルサービスがサイバー利用犯罪に悪用されかねません。その理由の1つとして、上流になればなるほど業務とシステムが直結するため、検討が難しくなることが挙げられます。企業独自の要素や要求を踏まえながら、現実のリスクを踏まえてカスタマイズしていくことが求められています。

また、将来的なトレンドに備えた検討も必要です。たとえば暗号化の領域では、2030年代に実用化が見込まれる量子コンピュータに備えたPQC（Post-Quantum Cryptography、耐量子計算機暗号）の必要性が浮上しています。これは、今のうちに暗号化されたデータを盗み出し、将来量子コンピュータで解読する「Harvest Now, Decrypt Later（今盗み、後で解読する）」という攻撃などに備えるためです。もし設計段階でこうした知見を持つメンバーがおらず、対応を後回しにしてしまうと、将来的にシステム全体を根本から作り直す莫大なコストが発生しかねません。中長期的なトレンドに備えるという意味でも、設計工程にセキュリティ専門家が加わり、しっかりリスクを検討していく必要があると思います。

デジタルサービス向けリスク分析支援は、まさに、要件定義や設計の段階でセキュリティを支援するサービスです。新たなビジネスを考える際、そのサービスでどのような犯罪行為や不正行為が想定されるかを網羅的に洗い出し、リスクを低減する手立てを要件に組み込んでいきます。

脅威を洗い出すアプローチは2つあります。

1つは、私たちがこれまで蓄積してきた過去に発生した脅威の事例です。2018年以降、海外はもちろん日本で発生したさまざまなインシデントの事例、約2500件を16種類ほどに分類し、データベース化しており、それを参照しながら脅威を洗い出しています。

もう1つは、セキュリティ専門家としての目線です。サイバー犯罪も一種の「経済活動」であり、攻撃者は「いかに低コストで効率よく稼げるか」を見ています。肉食動物が狙いやすい獲物から優先的に狙うのと同様に、競合他社の実装や政府・業界団体のガイドラインと比較して、攻撃者にとって「このサービスを攻めるのは手間とコストが見合わない」と思わせる妥当な水準を検討していきます。

業界をよく知るコンサルタントのセキュリティに関する知見に基づき、この2つを組み合わせて安全なサービスを作るお手伝いを提供しています。

たとえば、私が今支援しているお客様では、「新規サービスを立ち上げる際にはセキュリティチェックレビューを経なければならない」というガバナンスルールを定め、決済関連のように重要なサービスや特にリスクの高いサービスについてNRIが診断しています。

その通りです。新たな攻撃手法が出てきたり、他社や世間一般のセキュリティ水準が上がれば、相対的に自社の防御レベルが見劣りすることになります。ですから定期的な診断をお勧めしています。

以前は、不正アクセスを前提とした脅威に対する検討が不十分な場合が多くありました。これに対し最近は、悪意あるユーザーが入ってきた際の処理が定義されていない、つまり性善説で作られているサービス仕様の脆弱性を指摘するケースが多いように思います。

たとえばECサービスなどで、誤配送の際には返金する規約を設けていたとします。この場合、もし悪意を持った利用者が虚偽の申告を行ったり、無関係な物品を詰めて返品して返金を求めてきた場合にどうするか、といった事柄が詰め切れていない場合があります。

そうしたリスクに対して、ビジネスロジックを踏まえつつ、「返金申請の際にはeKYCを必須にする」といった対策を講じることで不正を防いでいくわけです。今や、ビジネスとシステムは密に連動して作られていますから、抽出したリスクに対しどういった対策を取り、どんなシステムで防止・抑止機能を持たせるかを検討していきます。

どちらの手法でも、サービスをリリースした後々になって穴が発覚する確率は下げられます。ただ、双方を組み合わせて使っていただくと、リリース直前になって対策漏れが発覚し、危ない状況が判明してリリース予定に間に合わなくなってしまう、といった事態をしっかり防げると思います。

一方で、それだけしっかりセキュリティチェックを行うと比例して費用もかかります。ですから、戦略的に重要なサービスや高い秘匿性の求められるサービス、あるいは他社がまだやっていないような初物のサービスをリリースする場合に、重点的に見えないリスクをつぶしておきたい時に、協力してご支援するケースが多いですね。

時には、お客様側にもどんなリスクに備えるべきかが不明瞭な場合も少なくありません。そんなときには私たちがともにお伺いして、お話ししながら課題を明確にしていくこともあります。

たとえば、FIDOやパスキーといった新たな認証手法に高齢者の方が不慣れなようであれば、窓口で対応したり、送金までに時間を置くといったビジネスロジックを組み合わせることで、費用対効果に優れた形で対処する考え方もあります。利用者のリテラシーやサービス全体のフロー、あるいは窓口やコールセンターなどの体制も含め、何が自分たちのサービスによってちょうどいい対策なのかというベースラインを決めていくことが、困難でもあり、重要なポイントです。

ここには唯一の答えが存在するわけではなく、画一的な対応では実現できません。日本の商習慣や社会、文化のことをよく知るコンサルタントがアドバイスし、サポートすることで価値が生まれると考えています。

昨今の状況を踏まえると、もはやセキュリティ対策はやって当たり前という時代になりましたし、信頼して使ってもらえるサービスの必須条件になっています。ですから、選ばれるサービスになるためには、セキュリティ要件をしっかり組み込んだ安全なものを作っていく発想が必要です。そもそも日本のもの作りや建築の世界を振り返ってみると、最初から安全を組み込むという、セキュリティ・バイ・デザインと同じ発想で作られてきました。ITシステムでもそうした思想を共有すべき時代になってきていると思います。

ただ、あまりにリスクを避けることを重視してしまうと、スピードが時速30キロしか出ない車のように使い物にならなくなってしまうでしょう。十分なスピードを出しつつ利用者の安全を保つ仕組みが自動車に組み込まれているのと同じように、便利な機能を持たせつつ、安全を守る仕組みやロジック、技術を最初から組み込んでいく。これはもはや努力目標ではなく、欧州の「サイバーレジリエンス法（CRA）」のような国際的な法規制の潮流を見ても、ITサービスの提供者が果たすべき「製造者責任」になっていくと考えられます。最初から安全を組み込むという日本の伝統的なもの作りの精神を、デジタル社会でも共有していくべきだと思います。