経済産業省 三角審議官が DX 時代だからこそ DevSecOps を推す理由 | ScanNetSecurity
2019.12.10(火)

経済産業省 三角審議官が DX 時代だからこそ DevSecOps を推す理由

DX 時代、データの重要性は高まり、業務システムはデジタル改革推進の役割を求められる。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す DevOps などの開発手法が浸透しつつある。

研修・セミナー・カンファレンス セミナー・イベント
 DX 時代、データの重要性は高まり、業務システムはデジタル改革推進の役割を求められる。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す DevOps などの開発手法が浸透しつつある。

 DevOps にセキュリティを組み込んだ DevSecOps の必要性を述べるのは、経済産業省 サイバーセキュリティ・情報化審議官の三角育生氏だ。

 今秋、名古屋(9/26)大阪(10/4)東京(10/9-11)の順に開催されるセキュリティカンファレンス Security Days Fall 2019 での基調講演「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」を行う三角氏に、講演予定内容と、「DevSecOps」について話を聞いた。


――最近、三角審議官が気になっていることはなんですか?

 私は最近「 DevSecOps 」推しなんです。DX によって、ビジネス戦略を柔軟に見直して新しいビジネスモデルを作ったり、仕事のやり方をスピーディに変革していくことが求められる現在、システムは常に変化を求められるわけで、従来のウォーターフォール型の開発体制では対応が難しくなっています。

 DX の時代に、これまでのようなシステム開発、ソフトウェア開発の考え方では、セキュリティがネックとなってしまいます。

 システムの企画設計の初期段階からセキュリティを意識した「セキュリティ・バイ・デザイン」は 10年くらい前から NISC が提唱してきました。システムを作った後になってからセキュリティをやろうとすると、手戻りが多くコストばかりかかります。「システムはこうできているので、あとは人間が頑張るように」これはそもそも難しい。

 日本年金機構のインシデントの調査報告書でも示しましたが、レガシーシステムが使いにくく、例外措置としてオープン系に情報を移行して仕事をしたという経緯が事故の一因でした。使いにくいシステムをそのままにして、いくら情報セキュリティ対策を高めようとしても、業務実態に合わない・仕事をしにくいシステムを用いるときには、かえってセキュリティを損なってしまいかねない。

 1990 年代後半に私は、米国カリフォルニア州のクレアモント大学院大学のピーター・ドラッカー・センターで学びました。IT と経営を融合させた講義があり、そこでは BPR( Business Process Re-engineering )の実践として、最初に業務プロセスを観察し、そこで見つかった課題を改善してから、最後にその整理された業務プロセスをもとにシステム開発を進める考え方を学びました。

 帰国後、行政でも、こうした考え方に基づき、輸出管理業務の業務プロセス改善等に取り組みました。まず仕事のカルチャーを見直して、仕事の進め方を改善してルールを整備し、最後にそこにシステムを適応させるわけです。

――開発(Dev)と運用(Ops)が連携する DevOps は、セキュリティ・バイ・デザインや BPR をさらに進めたものですね。

 アジャイル的にリリースして現場で運用し、課題が見つかれば改善を繰り返す DevOps の開発手法が最近よく話題にのぼるようになってきましたが、DevOps のプロセスにさらにセキュリティを組み込んだ DevSecOps が必要だと考えています。

 単年の予算主義をとる政府のシステムにすぐになじむ考え方ではありませんが、今からセキュリティに対する意識を変えておかないと、いざそのときが来たときでは遅い、対応できないのではと思っています。

――「後からやると遅い」ということで、他に気になっていることはありますか?

 これも米国留学の時ですが、ある日時速 65 マイルでハイウェイを走行中に、ブレーキがきかなくなったことがありました。しかし私の専攻は機械系でしたし、当時の自動車は機械で制御されていて、エンジンブレーキ、フットブレーキ、パーキングブレーキ、それらが独立に作動する構造を知っていましたから、なんらパニックに陥ることなく、無事停止させることができました。

 今のクルマは、メカニズムがブラックボックス化して、ユーザーが仕組を理解することは難しく、できることはその仕組の安全性をメーカーの信用に基づき信じることとなります。たとえばですが、仮にフットブレーキとパーキングブレーキが共通のソフトウェアライブラリを用いて開発されていて、そこにバグや脆弱性が潜んでいたとしたら、双方のブレーキに影響が及ぶかもしれない。

 これも「後からやると遅い」ことでしょう。世の中の重要なシステムのどこかに想定されない脆弱性を持ったコンポーネントが混入し、それが IoT で広がって、広範に深刻な影響を及ぼすかもしれません。今後重要な研究領域になっていくと思います。

──大阪、東京で開催されるセキュリティカンファレンス Security Days Fall 2019 で「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」という講演を行う予定ですが、どんな内容になりそうですか。

 講演では、サイバーセキュリティに関する国の政策を紹介します。「 DX 推進におけるサイバーセキュリティ」「クラウドの利活用に関わるセキュリティ」「サプライチェーン」「情報連携」「人材育成」に関して、逐条的な解説ではなく、今日お話ししたように私自身の経験や学んだことをベースにお話しできればと思っています。

経済産業省 サイバーセキュリティ・情報化審議官  三角 育生 氏
経済産業省 サイバーセキュリティ・情報化審議官 三角 育生 氏

 政府の資料は各方面に配慮した内容ですから、とても字が小さくてページ数が多い(笑)。私の講演は、サイバーセキュリティをいかに経営に組み込むかに関心のある経営者の方にとって、重要な部分を抽出したエッセンスとなるでしょう。

──ありがとうございました。

三角審議官 Security Days Fall 2019 講演予定
残席僅 Security Days Fall 2019 OSAKA 三角審議官 講演 10月4日(金) 午前9:45~10:25
残席僅 Security Days Fall 2019 TOKYO 三角審議官 講演 10月9日(水) 午前8:40~9:20
《阿部 欽一》

関連記事

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×