DevOps にセキュリティを組み込んだ DevSecOps の必要性を述べるのは、経済産業省 サイバーセキュリティ・情報化審議官の三角育生氏だ。
今秋、名古屋(9/26)・大阪(10/4)・東京(10/9-11)の順に開催されるセキュリティカンファレンス Security Days Fall 2019 での基調講演「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」を行う三角氏に、講演予定内容と、「DevSecOps」について話を聞いた。
――最近、三角審議官が気になっていることはなんですか?
私は最近「 DevSecOps 」推しなんです。DX によって、ビジネス戦略を柔軟に見直して新しいビジネスモデルを作ったり、仕事のやり方をスピーディに変革していくことが求められる現在、システムは常に変化を求められるわけで、従来のウォーターフォール型の開発体制では対応が難しくなっています。
DX の時代に、これまでのようなシステム開発、ソフトウェア開発の考え方では、セキュリティがネックとなってしまいます。
システムの企画設計の初期段階からセキュリティを意識した「セキュリティ・バイ・デザイン」は 10年くらい前から NISC が提唱してきました。システムを作った後になってからセキュリティをやろうとすると、手戻りが多くコストばかりかかります。「システムはこうできているので、あとは人間が頑張るように」これはそもそも難しい。
日本年金機構のインシデントの調査報告書でも示しましたが、レガシーシステムが使いにくく、例外措置としてオープン系に情報を移行して仕事をしたという経緯が事故の一因でした。使いにくいシステムをそのままにして、いくら情報セキュリティ対策を高めようとしても、業務実態に合わない・仕事をしにくいシステムを用いるときには、かえってセキュリティを損なってしまいかねない。
1990 年代後半に私は、米国カリフォルニア州のクレアモント大学院大学のピーター・ドラッカー・センターで学びました。IT と経営を融合させた講義があり、そこでは BPR( Business Process Re-engineering )の実践として、最初に業務プロセスを観察し、そこで見つかった課題を改善してから、最後にその整理された業務プロセスをもとにシステム開発を進める考え方を学びました。
帰国後、行政でも、こうした考え方に基づき、輸出管理業務の業務プロセス改善等に取り組みました。まず仕事のカルチャーを見直して、仕事の進め方を改善してルールを整備し、最後にそこにシステムを適応させるわけです。
――開発(Dev)と運用(Ops)が連携する DevOps は、セキュリティ・バイ・デザインや BPR をさらに進めたものですね。
アジャイル的にリリースして現場で運用し、課題が見つかれば改善を繰り返す DevOps の開発手法が最近よく話題にのぼるようになってきましたが、DevOps のプロセスにさらにセキュリティを組み込んだ DevSecOps が必要だと考えています。
単年の予算主義をとる政府のシステムにすぐになじむ考え方ではありませんが、今からセキュリティに対する意識を変えておかないと、いざそのときが来たときでは遅い、対応できないのではと思っています。
――「後からやると遅い」ということで、他に気になっていることはありますか?
これも米国留学の時ですが、ある日時速 65 マイルでハイウェイを走行中に、ブレーキがきかなくなったことがありました。しかし私の専攻は機械系でしたし、当時の自動車は機械で制御されていて、エンジンブレーキ、フットブレーキ、パーキングブレーキ、それらが独立に作動する構造を知っていましたから、なんらパニックに陥ることなく、無事停止させることができました。
今のクルマは、メカニズムがブラックボックス化して、ユーザーが仕組を理解することは難しく、できることはその仕組の安全性をメーカーの信用に基づき信じることとなります。たとえばですが、仮にフットブレーキとパーキングブレーキが共通のソフトウェアライブラリを用いて開発されていて、そこにバグや脆弱性が潜んでいたとしたら、双方のブレーキに影響が及ぶかもしれない。
これも「後からやると遅い」ことでしょう。世の中の重要なシステムのどこかに想定されない脆弱性を持ったコンポーネントが混入し、それが IoT で広がって、広範に深刻な影響を及ぼすかもしれません。今後重要な研究領域になっていくと思います。
──大阪、東京で開催されるセキュリティカンファレンス Security Days Fall 2019 で「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」という講演を行う予定ですが、どんな内容になりそうですか。
講演では、サイバーセキュリティに関する国の政策を紹介します。「 DX 推進におけるサイバーセキュリティ」「クラウドの利活用に関わるセキュリティ」「サプライチェーン」「情報連携」「人材育成」に関して、逐条的な解説ではなく、今日お話ししたように私自身の経験や学んだことをベースにお話しできればと思っています。
政府の資料は各方面に配慮した内容ですから、とても字が小さくてページ数が多い(笑)。私の講演は、サイバーセキュリティをいかに経営に組み込むかに関心のある経営者の方にとって、重要な部分を抽出したエッセンスとなるでしょう。
──ありがとうございました。
三角審議官 Security Days Fall 2019 講演予定
・残席僅 Security Days Fall 2019 OSAKA 三角審議官 講演 10月4日(金) 午前9:45~10:25
・残席僅 Security Days Fall 2019 TOKYO 三角審議官 講演 10月9日(水) 午前8:40~9:20
