事業の要請に応じてスピーディに新しいシステムを開発し、自社の競争力を高めたい。しかし、最低限のセキュリティ要件すら満たさないシステムを作ってしまい、不正アクセスを受けて情報漏洩につながるような事態は絶対に避けたい。そもそも、この2つの要件を両立させるためのノウハウも少ない——
こんな悩みを抱いているセキュリティ担当者は多いのではないでしょうか。MS&ADシステムズも例外ではありませんでしたが、NRIセキュアテクノロジーズ(以下、NRIセキュア)の支援を得ながら、新たなチャレンジに取り組みました※。
それは、企画・要件定義段階からセキュリティを意識してシステム開発を進める「セキュリティ・バイ・デザイン」や「シフトレフト」といった考え方を取り入れた仕組み作りです。その仕組みとは、提案を求めるパートナーに、どのようなセキュリティ要件を求めるかをまとめた「セキュリティ対策充足確認資料の記載要領」を提案依頼書(RFP)とともに提示することで、提案内容がセキュリティ要件を考慮したシステム設計になっているかを、提案の時点で確認するというものです。
この取り組みを開始した背景と狙い、手応えについて、MS&ADシステムズのシステムリスク管理部に所属する高橋邦英氏、杉野泰氏と、ともに伴走しながらプロジェクトを支援したNRIセキュアの深尾篤、三好雅貴にインタビューしました。
※MS&ADシステムズへの支援事例の詳細はこちら
「スピード感」と「セキュリティ」の両立が課題に
Q:これまで、システム開発時にどのようなセキュリティ対策を実施してきたのでしょうか。そしてそのプロセスにはどんな課題がありましたか?
MS&ADシステムズ
システムリスク企画グループ長
高橋 邦英氏
高橋:MS&ADシステムズは、MS&ADインシュアランス グループ全体のシステムの企画・開発・運用を支援するシステム中核会社です。
当グループのシステムは「全社システム」と「部門システム」の2つに大別できます。全社システムはMS&ADシステムズが企画・設計段階から関与して開発・運用しています。一方部門システムは、刻一刻と変わるビジネスニーズにマッチしたサービスをよりスピーディに提供するために、外部のパートナーと協力してパッケージシステムを導入したり、クラウドサービスを活用しながら構築しています。
いずれのシステムにおいてもセキュリティの重要性は認識していました。もし大切なお客様の情報漏洩やシステム障害が起これば、会社全体に影響します。そこで新たなシステムを開発する際には、個人情報保護法などを踏まえて我々が整備した情報管理に関するルールやクラウド関連ルールを参照し、システム要件の一部としてセキュリティ要件も盛り込むようにしていました。
しかし従来のシステム開発においては、組み込むべきセキュリティ要件の確認は、開発工程の中でも後半の工程で重点的に実施していました。NRIセキュアに依頼してセキュリティ診断も実施していましたが、最後の診断過程で不備が発見されると、改修作業が発生してリリーススケジュールに影響が生じたり、追加のコストがかかってしまったりする課題がありました。そこで企画・設計段階でセキュリティ要件をきちんと盛り込み、上流工程から網羅的に確認することで何とか不備を潰せないかと考え始めました。
NRIセキュアには先ほど触れたセキュリティ診断も含め、日ごろから情報セキュリティに関する助言を受けていました。いろいろ相談する中で、「セキュリティ・バイ・デザイン」の考え方についてアドバイスをいただき、本格的に検討を開始しました。
MS&ADシステムズ
システムリスク推進グループ長
杉野 泰氏
杉野:もう一つのコンセプトは、システム開発に携わるメンバーのセキュリティ意識向上です。部門システムの開発主体であるビジネス部門は業務要件には詳しいのですが、システムリスクやセキュリティの専門家ではありません。
そこで、他社の事例や開発プロセスの前の段階で確認すべきポイントなどをNRIセキュアからインプットしていただきつつ、ビジネス部門がよりセキュリティを意識してシステム構築できるようなスキームを検討しました。
高橋:業務要件を満たしたシステムを作る上で「スピード感」と「セキュリティ」は相反するところがあります。ビジネス部門としてもセキュリティをおろそかにすることはありませんが、どうしても「スピード感」に軸足を置きがちでした。こうしたスキームの整備を通してやるべきことを見える化し、より「セキュリティ」を意識していただけるようになったと思います。
「新たなアーキテクチャ」が登場してもセキュリティを担保できることが重要
Q:ご相談をいただいてから、どのように支援を進めていったのでしょう。
NRIセキュア DX事業三部長
深尾 篤
深尾:我々はセキュリティの専門家ですが、保険業務などのビジネスの実態には詳しくありません。データの用途や処理フローについても、お客様のビジネス部門の方々のほうが詳しいので、その情報を引き出した上で「セキュリティをどう設計するか」を考えるアプローチを取りました。
MS&ADシステムズ様の開発スキームとシステムの特徴に注目して検討したところ、大きく2つの課題があると感じました。1つは、いわゆる「Webアプリケーションのセキュリティガイドライン」だけでは満たされない要件がいくつかあることです。
もう1つは、DX(デジタルトランスフォーメーション)の特徴でもあるのですが、新たなアーキテクチャを考慮する必要があるということです。これからはシステムとシステム、サービスとサービスがつながって新たな価値を生み出していきます。つまり、すべてを自社で開発するのではなく、いろいろな組み合わせを考える必要があります。この先新たなアーキテクチャが登場してくる中でもセキュリティを担保できる発想が必要であり、この点をどうクリアしていくかがポイントでした。
そこで着目したのが「データ」です。要件をお伺いした際、MS&ADシステムズ様ではすでに「どういった情報を守りたいか」を明確にされていました。ですので、「各種データがシステムのどこにどのような形で保管されているか」を図に起こし、見えやすい形にしていただくところからスタートしました。こうしてデータの保管場所を明確化した後に、「どんなネットワーク経路でどういうアクターがアクセスするか」を明らかにし、全体の概要を可視化しました。
Q:DXに関わるコンサルティングでは、今回のようなご相談は多いですか?
深尾:DXのトレンドを背景に、さまざまなシステムとつながり新しい価値を生み出すシステムを開発するケースが増えています。これから会社の成長を支えるシステムを世の中にいち早く提供するため、「リリース期日を遵守したい」というご要望をよくいただきます。
しかし、セキュリティを「最後の砦」的に捉えていると、リリース直前の診断で大きな問題が見つかってしまい、短期間では修正できずに大幅な延期になってしまう可能性があります。これはビジネス上の大きなリスクです。重要なシステムになればなるほどリリース遵守のご要望が強く、そのためになるべく上流でセキュリティを担保したいというリクエストが多いですね。
心がけたのは、ビジネス部門に負荷をかけることのないスキーム作り
Q:こうした検討を経てRFPとともに提示する「セキュリティ対策充足確認資料の記載要領」を作成されたわけですが、苦労したポイントは何でしたか?
高橋:我々が最も心がけたのは、ビジネス部門に負荷をかけず、構築するシステムにおけるリスクに対するセキュリティ対策が過不足なく提案されているかを、すっと理解できるスキームを作ることでした。
新たなセキュリティルールを作ると、ビジネス部門には新たな作業負荷がかかるのではという抵抗感が生じます。今回はそういった負荷がかからないよう、提案の段階で「どういったシステムがどういった情報を取り扱っているのか」「それがどこでどのようにインプット・アウトプットされるのか」「その情報に対してアクセスコントロールがきちんとされているのか」を提案資料に組み込んでいただけるよう、事前に提示する「セキュリティ対策充足確認資料の記載要領」を整備しました。
杉野:従来のセキュリティチェックシートは自己点検のツールであり、開発プロジェクトにシステム担当がいない中でチェックシートのみで確認すると、セキュリティ充足内容が漏れる可能性があります。チェックシートを補完する位置付けで、スコープをデータの暗号化や認証といった「情報漏えいに関わる部分」にポイントを絞り、必要最低限の確認を行うスキームにしました。
深尾:NRIセキュアとして留意したのは、先ほども申し上げた通り、今後どのような新たなシステムがつながってくるか予想できない中で、いかにセキュリティを保てるようにしていくかでした。
すでにセキュリティ対策を施していたシステムでも、新たなシステムがつながることで影響が及ぶ可能性は高く、現にそうしたインシデント事例も世の中にはあります。そこを見据え、どのようにセキュリティを要件として取り込んでいくかに苦労しました。
企画・設計段階でリスクを潰すことで、セキュリティを担保しながらQCDを実現
Q:今回の成果物をどのように評価していますか?
高橋:NRIセキュアのアドバイスをいただきながら、企画・設計段階でリスクを潰しこむことでトータルでセキュリティを担保しながら、開発の手戻りによるコスト増も回避できる、部門システムの開発に適したスキームを構築できました。
Q:部門システムの担当者や開発に協力するパートナーさんからの反響はいかがですか?
杉野:今までは、開発プロセスの最後にセキュリティ診断を実施し、「見つかったら改修すればいい」という思いがあったかもしれません。しかし今回の取り組みによって、提案段階からセキュリティを意識し、設計、製造の段階でリスクを排除していくため、セキュリティ不備を極力なくした状態でリリースできるようになりました。セキュリティ診断は「最後に念のためやっておこう」という位置づけに変わってくると思います。
Q:ビジネス部門の皆さんのセキュリティ意識の変化は感じますか?
高橋:我々保険会社はお客様のセンシティブな情報を取り扱っていますので、情報漏洩の防止は常に念頭に置いてきました。改正個人情報保護法によって漏洩発生時の報告義務が厳格化されたこともあり、ますます意識は高まっています。中には業務やスピードを優先したくなる場面もあったと思いますが、今回の取り組みを通して、ビジネス部門のセキュリティ意識はトータルで大きく高まったと思います。
「セキュリティはマラソンと同じ」、形骸化させずに継続させるためのバランス感が重要
Q:今後、どのようなことに取り組んでいく計画でしょうか。
高橋:まだまだスタートしたばかりですが、このスキームを立ち上げたからには形骸化させてはいけないと考えています。今回整備したプロセスを適切に運用するため、漏れがないかを評価する確認ポイントを整備しています。
評価を回しながら実績を積むことで、ノウハウを蓄積すると同時にスキームをさらにブラッシュアップし、運用をいっそう効率化し、現場の負荷を軽減することも念頭に置きながら改善を続けていきたいと思います。
杉野:もう1つ注目しているのはIoTやモノのセキュリティです。今後、たとえば保険加入者のカーナビやドライブレコーダーなどさまざまなIoTとのデータ連携が増えていくと、セキュリティを確保すべき範囲もお客様情報だけに限らなくなっていくでしょう。そのために社内でセキュリティ専門部隊を構築し、開発の工程ごとにレビューを実施し、通過しないと次の工程に進めないようなセキュリティ工程管理を整備したいと考えており、ここもNRIセキュアさんに支援していただきつつ、ノウハウを蓄積していきたいと考えています。
NRIセキュア DX事業三部
エキスパート 三好 雅貴
三好:このようにできあがった素晴らしいスキームを浸透させていくお手伝いをできればと考えています。セキュリティというものは、現場から見ると、通常の開発プロセスから外れたちょっと「特別なもの」と思われがちです。
開発工程の中にシームレスにセキュリティの設計評価を入れ込み、ビジネス側と開発側が対等の立場でセキュリティを語り合えるような仕組み作り、組織作り、風土作りをしていくことがとても大事だととらえています。また将来的には、この取り組みをMS&ADグループ全体に採用していただければと期待しています。
私はMS&ADシステムズ様に10年以上にわたってセキュリティ診断を提供しているグループに所属していますが、やはりリリース直前の最後の工程で診断を行うと、結果として開発現場に大きな負担をかける側面も見られました。
シフトレフトを実現し、RFPや設計の段階でセキュリティを意識するこうしたスキームは、従来のセキュリティ診断の在り方を見直すいい機会にもなります。今後は、設計段階で安全が確認できた部分は診断項目から外して少しライトなメニューにするなど、シフトレフトのメリットを享受した新しいセキュリティ診断の形もご提案できればと考えています。
そして一番大事なことですが、セキュリティ動向はものすごい速さで変わっています。一度作成したセキュリティRFPも、その時々の状況に合わせてどんどん変化させていかなければなりません。我々は今後も常に最新の攻撃動向や技術動向をインプットし、必要な部分は改訂していく作業を継続的にご支援し、スキームが形骸化しないよう一緒になって支援できればと考えています。
金融庁から公開されている「サイバーセキュリティ強化に向けた取組方針」の中で金融商品・サービスの企画・設計段階から、セキュリティ要件を組み込む「セキュリティ・バイ・デザイン」の実践がポイントの1つとして取り上げています。
また、「金融機関のシステム障害に関する分析レポート」でもセキュリティインシデント事例が記載されるなど、セキュリティ・バイ・デザインは注目を増しており、しかも常に動向は変化しています。ですので、今後も継続的に世の中の動向をキャッチアップし、セキュリティ要件をブラッシュアップしていくことが大切なポイントだと考えています。
高橋:セキュリティ強化はマラソンと同じで、地道に持続的に取り組んでいくものです。形骸化させないよう、たとえば一つ新たなルールを設けてセキュリティを強化したら、代わりに定着した一つのルールはやめてもいいといった具合にバランスを取り、ビジネス部門とともにセキュリティに関する理解を深めながら、実効性ある対策を継続できるよう努力していきます。
今回のプロジェクト関係者(後列左より、MS&ADシステムズ 品質・リスク管理本部長 上野 邦宏氏、同 高橋 邦英氏、NRIセキュア 深尾 篤、野村総合研究所 高橋 大介氏、NRIセキュア 三好 雅貴。前列左より、MS&ADシステムズ 杉野 泰氏、同 竹本 泰夫氏、同 取締役専務執行役員 神野 真人氏)
