経済産業省 三角審議官が DX 時代だからこそ DevSecOps を推す理由 | ScanNetSecurity
2020.07.07(火)

経済産業省 三角審議官が DX 時代だからこそ DevSecOps を推す理由

DX 時代、データの重要性は高まり、業務システムはデジタル改革推進の役割を求められる。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す DevOps などの開発手法が浸透しつつある。

研修・セミナー・カンファレンス セミナー・イベント
経済産業省 サイバーセキュリティ・情報化審議官  三角 育生 氏
経済産業省 サイバーセキュリティ・情報化審議官 三角 育生 氏 全 1 枚 拡大写真
 DX 時代、データの重要性は高まり、業務システムはデジタル改革推進の役割を求められる。業務にマッチしたシステムを構築する必要性から、開発と運用がダイナミックに連携し、改善を繰り返す DevOps などの開発手法が浸透しつつある。

 DevOps にセキュリティを組み込んだ DevSecOps の必要性を述べるのは、経済産業省 サイバーセキュリティ・情報化審議官の三角育生氏だ。

 今秋、名古屋(9/26)大阪(10/4)東京(10/9-11)の順に開催されるセキュリティカンファレンス Security Days Fall 2019 での基調講演「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」を行う三角氏に、講演予定内容と、「DevSecOps」について話を聞いた。


――最近、三角審議官が気になっていることはなんですか?

 私は最近「 DevSecOps 」推しなんです。DX によって、ビジネス戦略を柔軟に見直して新しいビジネスモデルを作ったり、仕事のやり方をスピーディに変革していくことが求められる現在、システムは常に変化を求められるわけで、従来のウォーターフォール型の開発体制では対応が難しくなっています。

 DX の時代に、これまでのようなシステム開発、ソフトウェア開発の考え方では、セキュリティがネックとなってしまいます。

 システムの企画設計の初期段階からセキュリティを意識した「セキュリティ・バイ・デザイン」は 10年くらい前から NISC が提唱してきました。システムを作った後になってからセキュリティをやろうとすると、手戻りが多くコストばかりかかります。「システムはこうできているので、あとは人間が頑張るように」これはそもそも難しい。

 日本年金機構のインシデントの調査報告書でも示しましたが、レガシーシステムが使いにくく、例外措置としてオープン系に情報を移行して仕事をしたという経緯が事故の一因でした。使いにくいシステムをそのままにして、いくら情報セキュリティ対策を高めようとしても、業務実態に合わない・仕事をしにくいシステムを用いるときには、かえってセキュリティを損なってしまいかねない。

 1990 年代後半に私は、米国カリフォルニア州のクレアモント大学院大学のピーター・ドラッカー・センターで学びました。IT と経営を融合させた講義があり、そこでは BPR( Business Process Re-engineering )の実践として、最初に業務プロセスを観察し、そこで見つかった課題を改善してから、最後にその整理された業務プロセスをもとにシステム開発を進める考え方を学びました。

 帰国後、行政でも、こうした考え方に基づき、輸出管理業務の業務プロセス改善等に取り組みました。まず仕事のカルチャーを見直して、仕事の進め方を改善してルールを整備し、最後にそこにシステムを適応させるわけです。

――開発(Dev)と運用(Ops)が連携する DevOps は、セキュリティ・バイ・デザインや BPR をさらに進めたものですね。

 アジャイル的にリリースして現場で運用し、課題が見つかれば改善を繰り返す DevOps の開発手法が最近よく話題にのぼるようになってきましたが、DevOps のプロセスにさらにセキュリティを組み込んだ DevSecOps が必要だと考えています。

 単年の予算主義をとる政府のシステムにすぐになじむ考え方ではありませんが、今からセキュリティに対する意識を変えておかないと、いざそのときが来たときでは遅い、対応できないのではと思っています。

――「後からやると遅い」ということで、他に気になっていることはありますか?

 これも米国留学の時ですが、ある日時速 65 マイルでハイウェイを走行中に、ブレーキがきかなくなったことがありました。しかし私の専攻は機械系でしたし、当時の自動車は機械で制御されていて、エンジンブレーキ、フットブレーキ、パーキングブレーキ、それらが独立に作動する構造を知っていましたから、なんらパニックに陥ることなく、無事停止させることができました。

 今のクルマは、メカニズムがブラックボックス化して、ユーザーが仕組を理解することは難しく、できることはその仕組の安全性をメーカーの信用に基づき信じることとなります。たとえばですが、仮にフットブレーキとパーキングブレーキが共通のソフトウェアライブラリを用いて開発されていて、そこにバグや脆弱性が潜んでいたとしたら、双方のブレーキに影響が及ぶかもしれない。

 これも「後からやると遅い」ことでしょう。世の中の重要なシステムのどこかに想定されない脆弱性を持ったコンポーネントが混入し、それが IoT で広がって、広範に深刻な影響を及ぼすかもしれません。今後重要な研究領域になっていくと思います。

──大阪、東京で開催されるセキュリティカンファレンス Security Days Fall 2019 で「デジタルトランスフォーメーション時代における我が国のサイバーセキュリティ政策」という講演を行う予定ですが、どんな内容になりそうですか。

 講演では、サイバーセキュリティに関する国の政策を紹介します。「 DX 推進におけるサイバーセキュリティ」「クラウドの利活用に関わるセキュリティ」「サプライチェーン」「情報連携」「人材育成」に関して、逐条的な解説ではなく、今日お話ししたように私自身の経験や学んだことをベースにお話しできればと思っています。

経済産業省 サイバーセキュリティ・情報化審議官  三角 育生 氏
経済産業省 サイバーセキュリティ・情報化審議官 三角 育生 氏

 政府の資料は各方面に配慮した内容ですから、とても字が小さくてページ数が多い(笑)。私の講演は、サイバーセキュリティをいかに経営に組み込むかに関心のある経営者の方にとって、重要な部分を抽出したエッセンスとなるでしょう。

──ありがとうございました。

三角審議官 Security Days Fall 2019 講演予定
残席僅 Security Days Fall 2019 OSAKA 三角審議官 講演 10月4日(金) 午前9:45~10:25
残席僅 Security Days Fall 2019 TOKYO 三角審議官 講演 10月9日(水) 午前8:40~9:20

《阿部 欽一》

関連記事

この記事の写真

/
PageTop

特集

アクセスランキング

  1. コロナ前のデータで訓練された機械学習モデル、現在完全に破綻

    コロナ前のデータで訓練された機械学習モデル、現在完全に破綻

  2. 新たにBYOD端末からの不正アクセスが判明(NTT Com)

    新たにBYOD端末からの不正アクセスが判明(NTT Com)

  3. 金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)

    金融機関でのセキュリティ対策やシステム障害など3つのレポートを公開(金融庁)

  4. LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

    LINEプロフィール画像改ざん事件、脆弱性検証から逸脱した行為と判断(LINE)

  5. 「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)

    「道具屋さん本店」に不正アクセス、約5ヶ月分のカード決済情報が流出(エース産業機器)

  6. 「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

    「アカウントを更新できなかった」とする偽Amazonメール(フィッシング対策協議会)

  7. サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

    サイバーパンフレット サイバー攻撃の現状 2020(公安調査庁)

  8. GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)

    GitHubのコードレビューを自動化、工数を大幅削減する「Sider」提供開始(マクニカネットワークス)

  9. 新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ)

    新型コロナ関連攻撃の約8割がフィッシング--四半期動向(NTTデータ)

  10. 95日、検知までの期間が昨年から10日延びる ~ インシデントレスポンスから得られた CrowdStrike の知見

    95日、検知までの期間が昨年から10日延びる ~ インシデントレスポンスから得られた CrowdStrike の知見

ランキングをもっと見る