サービス紹介
システム企画を円滑に進める
セキュリティ・バイ・デザインの始め方
-
-
システム開発のセキュリティは専門家任せで良いのか?
-
-
-
「初学者×短時間×セキュリティ」をどうやって成立させるか
-
「作っては捨てる」を繰り返す
-
初学者と専門職によるトライアルとファインチューニング
-
-
-
-
事例と実践で学ぶセキュリティの重要性
-
-
-
敬遠されるセキュリティを自分事化する
-
必要最低限を確実に持ち帰る
-
答えるべき問い
システム開発のセキュリティは専門家任せで良いのか?
近年、テクノロジーの発展とデジタルトラスフォーメーション(DX)の実現に向けて、多くの企業でシステム開発や企画の内製化が進んできました。内製化が進む中で、従来のようにシステムに詳しいIT担当者が企画するのではなく、業務を熟知した現場担当者が主体となってシステム立案を行うケースが増えています。それは業務に精通した現場担当者が企画立案を行うことで、現行業務からかけ離れ過ぎず、現実的かつ実用的なシステムを開発することが可能だからです。
しかし、現場担当者は業務には精通していても、システム開発の経験はないのが一般的でしょう。そのため、企画された内容には、特に構築するシステムのセキュリティリスクとその対策を講じられておらず、システム開発フェーズやテスト段階になって無防備な状態が露見することがあります。開発・テスト工程でリスク対応の不備が検知されたとしたらまだ対処のしようがありますが、システムがリリースされ、セキュリティ事故が起こってしまってからでは取り返しがつきません。
そのため昨今では、企画段階からセキュリティを考慮する「セキュリティ・バイ・デザイン」という考え方が注目されています。セキュリティ要件に対応した具体的な実装については専門家に譲るとして、その前段階でどういったリスクが潜在しているか、顕在化しないようにどういったセキュリティ対策を施せば良いかを考えることは基礎知識を養うことで出来るようになります。今回は、その基礎知識を短時間で習得することを狙いとしたゲーミフィケーションなワークショップを大手金融機関と共同開発しました。
開発ノート
「初学者×短時間×セキュリティ」をどうやって成立させるか
「作っては捨てる」を繰り返す
プロジェクトが立ち上がったのは、大手金融機関のセキュリティ統括本部からの相談がきっかけでした。「デジタルトランスフォーメーション(DX)の取り組みは、大手金融機関の将来を占うものでもあり、多額の予算を確保して進めてきている。あらゆる現場でデジタイズ・デジタライズを取り掛かり、成果が出始めている一方で、セキュリティ不備の多さも目立つようになってきて、策を講じたい」という内容でした。そこから、ラーニングコンセプトである「誰を対象にするか」「学習後どういう状態になってもらうか」「ゴール達成のための学びの仕掛けは何か」といった問いに対して専門家も交えながら議論に議論を重ね、プロトタイプを作っては破り捨てることを繰り返し、「初学者が3時間でシステム企画に必要なセキュリティ知識を学べるワークショップ」の骨格をつくりだしました。
初学者と専門職によるトライアルとファインチューニング
通常であれば出来上がったワークショップや研修は、一通りのウォークスルーを行うことが一般的ではありますが、当ワークショップは、「本当に初学者が狙った学びを持ち帰れるか」「専門化目線でも十分な内容になっているか」という問いに答えるために、トライアルの実施を繰り返し、受講者からもらった多量のフィードバックを踏まえ、カリキュラムを叩き続けました。難所を乗り越え続けた結果、カリキュラムのバリが取れ、不足が充足し、受講生にとって本当に持ち帰りがあるワークショップを仕上げることができ、今では膨大なシステム開発予算を執行していく現場で「セキュリティ・バイ・デザイン」が実践されています。
プログラムの概要
事例と実践で学ぶセキュリティの重要性
当ワークショップでは、システム企画段階でセキュリティリスクに対する対策を講じるために必要な知識とスキルを、半日間のワークショップ形式で学べる実践的な内容です。セキュリティリスクにはどういったものがあるかを理解し、企画立案時において、開発するシステムに潜在しているリスクをどのように見極め、どのような対策を講じるべきかを段階的に学んでいきます。
プログラムは全3章で構成されており、まずは実際に発生したセキュリティ事故の事例をもとにトラブルが発生した際の損害や影響範囲を理解した上で、何故その事故は発生したのか、どうやったら事故を防ぐことが出来たのかを考えることから始めます。次に、ITの専門家じゃなかったとしても最低限理解しておくべきセキュリティ・バイ・デザインの基本概念とそれが重要視されている背景を学びます。最後に、ゲーミフィケーションを活用したケーススタディを通じて、セキュリティ・バイ・デザインの具体的な手順を実践してみます。具体的には、架空の銀行システム構成を題材に、どのようなセキュリティリスクが存在するかを議論し、それらに対する対策を考え抜くことで前段で学習したことを実践すると同時に企画段階でセキュリティを考慮することが難しくない感覚を得てもらいます。当ワークショップに参加いただくことで、システム企画に携わる担当者が、ITの専門家でなくとも安心して利用できるセキュアなシステムを企画出来るようになることを目指します。
強みとなるこだわり
敬遠されるセキュリティを自分事化する
人は得てして、興味がわかないものだったり、難しそうな事柄を避けるところがあります。ただ、現代のビジネス環境では、セキュリティについて何も知らないわけにはいかないのが実際です。連日、事業の停止に追い込まれるようなセキュリティ事故のニュースが流れていますが、発生原因を備に紐解くとあまりにも初歩的なミスだったりして驚きを隠せません。これは、もはや専門職や外部委託先任せでは対応しきれない程にセキュリティ対応すべき事項が多岐にわたっていることを意味しています。
デジタルトランスフォーメーション(DX)に取り組む今日。事業目標を達成するための一つの手段として、業務をテクノロジーに代替させたり、システム刷新を企画されることが増える中で、企画者担当がセキュリティの基礎を理解しておけば防げた事例をホラーストーリー仕立てで学ぶことで、「セキュリティ=専門家丸投げ」ではなく、「セキュリティ=守備範囲」という自分事化を図ります。
必要最低限を確実に持ち帰る
とは言え、セキュリティは本当に幅が広く、奥が深い。オールラウンドな専門家も多くないのではないかと思う程にセキュリティの世界は広いです。そのような学習テーマでありながら、システム企画者に最低限学び得てもらいたいことは何か?という問いが、当ワークショップ開発の難所でした。
習得して欲しいことを挙げだすとキリがなく、だからと言って基礎知識だけを詰め込んでも実践では役に立たない。発散と収束を繰り返す中で、辿り着いたのは「何を考えればいいか」「いつ考えればよいか」「何を参考にすればよいか」を正しく理解できれば良いということでした。このポイントをベースにカードゲーム形式の「セキュリティ・バイ・デザイン」を開発し、「大雑把にでもシステム構成を描いた時に、どういったリスクが存在し、どう対処できるかをセキュリティ規定を参照しながら考えればよいのだ」という理解を持ち帰ってもらうことで、現場でシステム企画に直面した時の再現性を実現しました。
関連する資料のダウンロード
システム企画を円滑に進める
セキュリティ・バイ・デザインの始め方
当ワークショップでは、システム企画段階でセキュリティリスクに対する対策を講じるために必要な知識とスキルを、半日間のワークショップ形式で学べる実践的な内容です。セキュリティリスクにはどういったものがあるかを理解し、企画立案時において、開発するシステムに潜在しているリスクをどのように見極め、どのような対策を講じるべきかを段階的に学んでいきます。