要件定義から
セキュリティ担当が関わる事例
セキュリティと運用はバランス良く。セキュリティはより上流から考える。
事業運営をしていると、既存のシステムではなかなか実現が難しいという事があります。その場合、自社専用のシステムやアプリケーションを構築します。現在では、クラウド上に開発を行うことも珍しくありません。
基幹システムのリプレースを行った2つの会社の事例を紹介します。両社とも、構築を担当する会社と何度もミーティングを重ね、必要な機能や付随機能について検討をしてきました。
A社
セキュリティ担当が開発の企画の段階から積極的に関わりシステム開発を進めました。システムを利用する部門から、開発への参加はありませんでした。
| 機能要件 |
顧客管理 顧客情報更新・修正 顧客へのメール送信 検索機能 |
|---|---|
| 非機能要件 |
認証機能 稼働率99.9%以上 ログ取得 タイムアウト機能 |
B社
セキュリティ担当は積極的には関わらず、システムを利用する部門の担当者を中心に進めていきました。
| 機能要件 |
顧客管理 顧客情報更新・修正 顧客へのメール送信 検索機能 |
|---|---|
| 非機能要件 |
レスポンスタイム 稼働率99.9%以上 画面操作性 視認性 |
A社ではセキュリティ担当が積極的に関わったため、セキュリティ機能が充実したシステムになりました。対してB社では、担当部門が中心となったため、利用者が利用しやすいシステムになりました。どちらの会社も特徴はあるものの業務をする上で必要な機能を持ったシステムを開発する事ができました。しかし、どちらの会社もシステムを使っていくと問題も出てきました。
| A社の問題点 | B社の問題点 |
|---|---|
| 画面が見づらく、操作がしづらい | 情報漏えいリスクが高い |
| A社が実施した改善策 | B社が実施した改善策 |
| 一部システムの改修を実施 | セキュリティ機能の充実化 運用におけるセキュリティ対策の実施 |
それぞれの会社で良い点悪い点がありました。この2つの会社はどうすればよかったのでしょうか?今回の2社の事例から、システム開発ではセキュリティ担当と利用者の両者がしっかりと意見交換しながら進めていく事が望ましいという事がわかります。最近では、セキュリティバイデザインという考え方があり、企画・設計のフェーズからセキュリティ対策を組み込んでいく事が良いとされています。また、セキュリティ担当としては、企画の段階から積極的な関わりをしていくとともに、ユーザーの声を聞くことが大切です。しかし、守る所はセキュリティを優先するという強い意志も重要になってきます。何を守るのか、どうやって守るのかを意識し対応をしていきましょう。