近年サイバー攻撃の被害件数が急増し、DDoS攻撃やマルウェアなど手口も悪質化しています。今やサイバー攻撃は身近な脅威であり、多くの企業にとってセキュリティ対策は急務となっていますが、その対策方法に苦慮しています。そんな中、改めて注目されているセキュリティ概念が「セキュリティ・バイ・デザイン(SBD)」です。
今回の記事では、セキュリティ・バイ・デザインの基礎概念を解説するとともに、AWSでセキュリティ・バイ・デザインに基づいた環境構築を行うときに知っておきたい、ガイドラインやフレームワークについて解説していきます。
目次
セキュリティ・バイ・デザインとは?
まず、セキュリティ・バイ・デザインの基礎概念から確認していきましょう。
セキュリティ・バイ・デザイン(SBD)とは?
「セキュリティ・バイ・デザイン(Security by Design)」は、情報システムやソフトウェア、ハードウェアなどの開発時に、企画・設計段階でセキュリティに関する方策などを組み込むことや、そうしたセキュリティ設計思想のことです。SBDと略されるケースや、「セキュア・バイ・デザイン」と呼ばれることもあります。
また、似た言葉として、「DevSecOps」が挙げられます。両者はセキュリティ対策を盤石なものにするという意味では同じですが、厳密には異なる意味を持ったセキュリティ用語です。セキュリティ・バイ・デザインは、システムなどの設計フェーズでセキュリティ設計を行う考え方であるのに対して、DevSecOpsは、「開発(Dev)から運用(Ops)」のプロセス全体に「セキュリティ対策(Sec)」を組み込むアプローチです。
セキュリティ・バイ・デザインを取り巻く近況
次に、今セキュリティ・バイ・デザインが注目されている理由について、その背景や、デジタル庁が公表しているSBDガイドラインなどをご紹介します。
セキュリティ・バイ・デザインが注目されている背景
ここ数年、サイバー攻撃による被害が爆発的に増加しています。これが、セキュリティ・バイ・デザインが注目される背景のひとつです。IoT機器やAIなどインターネット接続が前提のデバイスやサービスが、私たちの生活にほぼ必須となった今、セキュリティ対策ありきの開発が大前提となり、「セキュリティ・バイ・デザインに注目せざる負えなくなった」といっても過言ではないのかもしれません。
警察庁が公開している広報資料によれば、2023年の不正アクセス数は6,312件にのぼり、昨年度の件数2,200件と比べると3倍近くまで増加しています。また、東京商工リサーチの公表データを見ると、2023年上場企業とその子会社が公表した個人情報の漏えい・紛失事故の件数は前年比6%増の175件にのぼり、漏えいした個人情報件数はなんと4,090万8,718人分という驚くべき件数でした。
さらには、東京商工リサーチの同データによると、情報漏えい・紛失の原因の半数以上をウイルス感染・不正アクセスが占めており、その事故件数は2019年以降5年連続で最多を更新しています。2013年には不正アクセスにより最大2,200万件のIDが外部流出した可能性を公表して話題になった、大手インターネット企業による大型情報漏えい事故もありました。また、2023年の中古車販売・買取会社による年間最多件数の情報漏えい事故(240万2,233件)も記憶に新しいところですが、この被害はランサムウェア攻撃によるものです。
このように、悪意あるサイバー攻撃者からのサイバー攻撃は、年々増加の一途をたどっており、減少傾向の影はほとんどありません。手口も巧妙化しているうえに、規模も大きくなっています。こうした背景から、より切実なセキュリティ対策への意識が高まった結果、セキュリティ・バイ・デザインに大きな注目が集まっているのです。
セキュリティ・バイ・デザインのガイドライン
セキュリティ・バイ・デザインに基づいた開発を行ううえで知っておきたいのが、デジタル庁やIPAが公表しているガイドラインです。
デジタル庁のガイドライン
深刻化したサイバー被害によってセキュリティ対策の必要性に迫られ、デジタル庁はセキュリティ・バイ・デザインのガイドラインを公表しました。それが、政府情報システムにおけるセキュリティ・バイ・デザインガイドラインです。このガイドライン内では、セキュリティ・バイ・デザインの基礎やメリット、実際にセキュリティ・バイ・デザインの思想に基づいてシステムやソフトウェア、ハードウェアなどの開発を行うにあたって、理解しておくべき考え方や構成要素などがまとめられています。
IPAのセキュリティ・バイ・デザイン導入指南書
IPA(独立行政法人・情報処理推進機構)は、セキュリティ・バイ・デザイン実施の手助けとなる、導入指南書を公表しています。セキュリティの初心者でも読みやすいように、図表やキャラクターを取り入れたわかりやすいマニュアルとなっており、セキュリティ・バイ・デザインの概念から脅威分析や要件定義の実践方法、セキュアなアーキテクチャを設計・構築する具体的な方法など、現場で役立つノウハウも学べます。
AWSとセキュリティ・バイ・デザイン
ここからは、AWSでセキュリティ・バイ・デザインを実践する際に必要なAWSの責任共有モデルやフレームワーク、AWS環境構築時に役立つAWSサービスなどをご紹介します。
責任共有モデルについて
AWSは「責任共有モデル」を採用しています。AWS公式Webサイトでは、責任共有モデルを以下のように定義しています。
「セキュリティとコンプライアンスは、AWSとお客様の間で共有される責任です」
引用元:責任共有モデル|AWS
https://aws.amazon.com/jp/compliance/shared-responsibility-model/
サービスを提供するにあたって、AWSとユーザーの責任範囲は「責任共有モデル」に基づいて明確に分けられており、それぞれの責任を定義することでより強固なセキュリティを実現しています。なお、利用者が担うべきセキュリティ対策の範囲は、AWSサービスごとに異なるため、注意が必要です。
責任共有モデルについては、当社でも解説記事を公開しておりますので、そちらも是非ご参照ください。
AWSに必要なセキュリティ対策とは? AWSの責任共有モデルの解説|TOKAIコミュニケーションズ
セキュリティ・バイ・デザインに基づいたAWSの環境構築に役立つサービス
続いて、セキュリティ・バイ・デザインに基づいたAWS環境構築に役立つサービスを3つご紹介します。
Amazon GuardDuty
「Amazon GuardDuty」は、AWS上の脅威検知サービスです。AWS上でインシデントが発生したとき、自動的に検知してユーザーに通知します。365日24時間の監視体制を確立でき、被害拡大の防止にもつながります。
AWS Security Hub
「AWS Security Hub」は、AWS上にある複数のサービスからセキュリティ情報を集め、一元管理できるサービスです。インシデント対策の優先順位付けや自動修復機能なども備えており、包括的にセキュリティ状況を把握することで、AWS環境全体の運用効率向上に役立ちます。
AWS Config
「AWS Config」は、AWSリソース(EC2インスタンスやS3バケットなど)の設定を監視・管理するサービスです。変更記録やAWSリソース間の依存関係などを検出して、マップ化することも可能です。
AWSが公開している「Well Architected Framework」
AWSは、「Well Architected Framework」という、環境構築に役立つフレームワークを公開しています。このフレームワークは6つの柱で構成されており、その中のひとつが「セキュリティ」です。セキュリティの柱では、データの機密性やユーザー許可の管理などに焦点が当てられており、このフレームワークを学ぶことは、セキュリティ・バイ・デザインに基づいた効果的なAWS環境構築や、セキュリティ対策の実装の助けとなるでしょう。
AWSのセキュリティに関する悩みは当社までご相談を
AWSでセキュリティ・バイ・デザインに基づいた、安全性の高いシステム構築するにあたり、「セキュリティ対策に必要な知識や技術を持つ人材が不足している」「複数のAWSサービスを利用しており、環境全体のセキュリティ対策が複雑になっている」「業界特有のコンプライアンスを満たすためのセキュリティ対策がわからない」などとお悩みの方も多くいらっしゃるでしょう。そんな方はお気軽に当社までご相談ください。
AWSの導入実績が豊富
TOKAIコミュニケーションズは、製造業界や医療業界、教育業界など、あらゆる業界でのAWS導入実績があります。AWS接続提供実績は1,800回線以上にものぼり、国内で初めてAWSネットワークコンピテンシーパートナー認定も取得しています。各種AWS認定を取得したエンジニアが、多数の導入実績から培ったナレッジをもとに、お客様の用途やご予算に応じた、最適なAWS導入プランやAWSサポートをご提案します。
「AWS導入サポート」では、セキュリティ対策もサポート
当社の提供する「AWS導入サポート」は、AWSの検討段階から構築・移行・運用段階までを支援するワンストップサービスです。サーバーレス設計などアプリケーションの設計構築にも対応しており、強固なセキュリティ要件を満たすシステム設計や構築も可能です。AWSプレミアティアサービスパートナーの知識をもとに、AWSのセキュリティ機能やサービスを組み合わせて、「オンプレミスと同等、それ以上の強固なセキュリティ」も実現可能ですので、お気軽にご相談ください。
まとめ
近年では巧妙なサイバー攻撃が急増し、その手口も驚くほど多様化しています。悪意ある攻撃者はインターネットを経由して脆弱性を突き、さまざまなサイバー攻撃を仕掛けてきます。そんな脅威から身を守るためにセキュリティ・バイ・デザインを意識したセキュリティ対策が強く求められています。AWSでは、セキュリティ・バイ・デザインに基づいた環境構築をサポートする多数のサービスを提供しています。AWSでのセキュリティ対策や強化、移行などにご興味のある方は、お気軽に当社までご相談 ください。