by 石井 一志
NRIセキュアテクノロジーズ株式会社(以下、NRIセキュア)は24日、ローコード/ノーコード開発ツールを用いてシステムやアプリケーションを開発する「市民開発」の際に考慮すべきセキュリティ要件を整備し、各企業における安全な市民開発環境の構築を支援する「市民開発セキュリティガイドライン策定支援サービス」を提供開始すると発表した。
昨今のシステム開発においては、ローコード/ノーコード開発ツールを用いてシステムやアプリケーションを開発する「市民開発」が活発になっているが、直感的な操作で比較的簡単にアプリケーション開発等が行える一方、市民開発で作られたアプリケーションが乱立した結果、脆弱なアプリケーションが意図せず組織内に広がってしまうケースが見受けられるという。さらに、アプリケーションの外部公開設定や外部システムとの連携方法に不備があった場合には、不正アクセスや情報漏えい等の被害につながる可能性もあるとのこと。
そこで今回、NRIセキュアでは、市民開発時に守るべきセキュリティ対策を盛り込んだガイドラインの策定を支援する「市民開発セキュリティガイドライン策定支援サービス」を提供する。
市民開発時に従業員が守るべきセキュリティ基準を設定し、ガイドラインとして整備するが、策定にあたっては、企業がすでに利用している、あるいは利用する予定のあるローコード/ノーコード開発ツール(以下、市民開発ツール)のセキュリティ関連機能を調査し、NRIセキュアの知見である市民開発時のセキュリティ対策観点をあわせることにより、市民開発時に共通して守るべきセキュリティ要件を洗い出す。また機能調査結果を基に、セキュリティ要件をツール標準機能で満たすべきなのか、代替統制として満たせばよいのかを、企業の環境に応じて明確にするとした。
また、各組織のシステム特性や固有の運用方法等を考慮しつつ、過度な対策を盛り込むのではなく、実際の運用に生かせるように配慮するほか、対象とする市民開発ツールが複数ある場合には、それらのセキュリティ関連機能を横断的に調査したうえで、特定のツールに依存しない汎用的に利用可能なガイドラインを策定するとのことだ。
なお、安全な市民開発環境を実現するには、システム管理者にセキュリティ対策の実装・評価を任せきりにせず、企画・設計の段階から、業務部門でもセキュリティ対策を考慮する必要がある。そこで、策定するガイドラインでは、各セキュリティ対策項目の担当者を管理者側(IT・セキュリティ部門等)と利用者側(業務部門等)に分類することで、役割ごとに実施すべき対策項目を明確化し、対策の抜け穴ができないようにするとしている。
