近年、ノーコードツールを活用したプログラミングを必要としないシステム開発が注目を集めています。
あらかじめ、ノーコードツールが提供する各種機能パーツをドラック&ドロップで組み込むだけでシステムが完成するため、企業は高い生産性、システム化の時間短縮、専門スキルの不要の3つのメリットを享受できます。
IT人材不足問題の影響を受ける企業にとってノーコードが提供する3つのメリットは企業にとって魅力的なものですが、一方でセキュリティの観点でノーコード導入を躊躇する企業が存在します。
企業側でノーコードがシステム開発に有用であることは認知されているが、セキュリティに関しての懸念払拭には至っていないのが現状です。
社内でシステムを運用する以上は社内に存在する情報セキュリティポリシーへの適合や情報システム部が承認するセキュリティ対策を講じる必要があリますが、ノーコードのセキュリティに関する情報が極めて少ないため、安全であるという根拠を持った導入ができないのです。
そこで、ノーコードツール・ローコードツールを用いたシステム開発サービスを運営し、数多くのローコードシステム開発を成功させてきたBOLTが、ノーコードが提供するセキュリティ対策と導入前に確認すべきことを徹底解説していきます。
本ウェビナーでは、Excelでの業務管理に限界を感じている経営者、管理職、現場社員の方達に向け、脱Excelをローコードツールで実現する方法を紹介しています。
ノーコードツールが提供するセキュリティ対策
社内のシステム開発もしくはDX推進にノーコードの活用を検討されている場合には導入するノーコードツールのセキュリティに関して、理解をしておく必要がありますが、どの部分を抑えていく必要があるのかが分からない方が多いのではないでしょうか。
情報セキュリティにおける3要素(機密性・完全性・可用性)の観点でノーコードツールが提供するセキュリティ対策を紹介していきます。
認証機能
情報セキュリティにおける機密性をノーコードツールは豊富なユーザー認証機能で担保しています。
構築するアプリに社内の機密データを保存する場合にはアプリにログインするユーザー認証機能が必要になります。
一般的な方法はメールアドレスごとに一意なパスワードを提供し、メールアドレスとパスワードでユーザー認証する方法です。
認証機能の部分で注意が必要なのがパスワードポリシーの設定が可能かどうかです。
パスワードポリシーはパスワードで使える文字や桁数の条件を指しており、パスワードポリシーを設定がない場合、「A」や「1」のような1桁のパスワードでも認証が可能となってしまいます。
パスワードは保持するユーザーしか分からず、外部の人間に簡単に理解されない複雑性が必須なため、必ずパスワードポリシー設定で制御する必要があります。
2段階認証
メールアドレスとパスワードのみならず、さらに安心して認証を行うために企業では2段階認証を求める場合があります。
2段階認証はメールアドレスとパスワードの他に別アプリでのログインの認証やセキュリティコードを入力を追加することで不正アクセスを防ぐ方法です。
ノーコードツールの「Bubble」は2段階認証に対応しており、「Google認証システム」と外部ツール「Authy」を活用することが可能です。
ドメインによる認証管理
ノーコードツールにはドメインによる認証管理機能が存在します。
システム内のドメイン許可リストに社内で運用するドメインを登録することで、社内の情報システム部が管理するメールアドレスを配布された人間しかアクセスが出来ないように設定可能です。
ノーコードツールの「AppSheet」がドメインによるアクセス許可の仕組みを提供しています。
サードパーティー認証
認証時にGoogle、DropBox、Office365などの信頼性の高いプロバイダーを介したサードパーティ認証を行うことも可能です。
ユーザー認証にメールアドレスとパスワードだけでなく、サードパーティー製品を組み合わせることで、より高度な認証が可能となります。
例としてサードパーティ認証機能を提供するAppSheetでは、以下の外部プロバイダーからの認証が可能です。
- Dropbox
- Box
- Office365
- Salesforce
- Smartsheet
データアクセス制御
情報セキュリティにおける完全性をノーコードツールはユーザーが保持する権限ごとのデータアクセス制御機能で担保しています。
システムにログインしたユーザーが勝手にデータを更新したり、削除してしまう事態を防ぐにはユーザーごとのデータアクセスを制御する必要があります。
データアクセス制御を行うことで各ユーザーごとに表示されるデータの範囲やデータの新規追加、更新、削除などシステム内でアクセスできる範囲を制限することができます。
ノーコードではシステムに登録したユーザーごとに権限を付与することが可能で主に2つの権限でアクセス範囲を制限をしています。
- アドミンユーザー
- 一般ユーザー
アドミンユーザーは全てのデータへのアクセス権限を持ったユーザーで、アプリ開発者やアプリ管理部署が保有するユーザー権限になります。
対して、一般ユーザーはアドミンユーザーが指定した範囲内のデータしか表示されず、データの新規登録、更新、削除に関しても一部制限がかけられます。
ノーコードツールによっては更に細かい権限設定を行うことが可能です。
システムが扱うデータや利用用途によって、適切なデータアクセス制御を設定することでシステムの完全性を保つことができます。
データ暗号化
システムとサーバーの間で行われる通信内容が暗号化されていない場合、外部から内容が簡単に読み取られてしまいます。
ノーコードツールは業界標準のセキュリティプロトコルを活用し、データを暗号化することでデータを保護しています。
ノーコードで構築したシステムにおいて、ユーザーがデータの追加や変更をシステムで行った際は暗号化プロトコル(HTTPS)を介して、プラットフォームが提供するデータベースに送信されるため、通信内容を外部から読み取ることが困難になっています。
システムに画像やPDFなどのデータを保存した場合もファイルが暗号化されるため、外部ユーザーが添付ファイルの中身を確認することを防げます。
暗号化プロトコルを活用することで、データの「盗聴」「改ざん」「なりすまし」を防止することにつながり、データの完全性を担保することができます。
各種ログ管理
ローコードツールは構築したシステムで行われたアクセス履歴や操作履歴をログとして保存、参照すること機能を提供しています。
ノーコードはユーザーのログイン・ログアウトからデータの編集・閲覧履歴などの操作履歴を収集しており、システムの利用状況を管理画面から把握することができます。
内部統制の観点からシステムにおける操作履歴を管理することで不正なデータ操作や記録改竄の防止に繋がり、万が一、不正操作があった場合もログから原因を追及することが可能となります。
各種のログを収集しておくことで、誰が、いつ、何をしたのかという記録を正確に把握することで、システム活用における不正を防止し、安全にシステムを運用することができます。
ノーコード活用前に確認すべき注意点とは?
ここまでノーコードツールが提供するセキュリティ関連の機能に関して紹介してきました。
ノーコードは企業において必要となるセキュリティ対策の大半を揃えており、情報システム部を説得するには十分なセキュリティ対策を講じていると言えます。
しかし、活用前にいくつか事前確認をしておくべき点も存在します。
ここではノーコードを活用する前に確認すべき注意点を解説します。
システム活用範囲とデータの重要度
ノーコード開発を行う際は必ずシステムの活用範囲とシステムに保管されるデータを事前確認する必要があります。
システムの活用範囲と保管するデータの内容によってシステムに求めるセキュリティ対策の度合いが変化するのです。
| 活用範囲 | データの重要度 | 対策例 |
| 製品カタログ | 低(公開) | データをパブリックに公開。 コンテンツアップロードの権限を厳格に管理 データ改竄対策 |
| 勤怠管理 | 中(社外秘) | 暗号プロトコルによる通信暗号化 ID/パスワードによる認証管理 アクセスログ管理 |
| 顧客管理 | 大(社外秘) | 暗号プロトコルによる通信暗号化 2段階認証・サードパーティ認証 ドメイン認証 アクセスログ・操作ログ、監査跡を取得 |
ノーコードを活用してシステムを構築する場合は、構築するシステムの活用範囲やシステム内に保管するデータの重要度を鑑みた上でセキュリティ対策を施す必要があります。
ノーコードで開発する全てのシステムに厳格なセキュリティ対策が必要というわけではなく、開発するシステムの内容によって施すべき対策が変化します。
ノーコードはセキュリティ対策が不足していると思われがちですが、重要なのは活用する用途に対して必要な対策が取れるかどうかという観点です。
ノーコードツールを選定する際はシステム化範囲と保存するデータに対して、適切なセキュリティ対策が用意されているかを確認してください。
セキュリティ規格の確認
ノーコードツールが提供するセキュリティ対策を確認した後は、ツールの運営企業がセキュリティ規格を取得しているかの確認が必要です。
ノーコードツールを活用するということはデータを運営企業のサーバーに保管することになるため、運営企業が十分なセキュリティ対策を施していない場合は情報漏洩のリスクを負うことになるため、情報システム部はシステム導入時に規格取得の有無には敏感です。
情報セキュリティに関する様々な国際規格が存在し、規格を取得することで機密性の高い情報管理やセキュリティ対策を行っている証明となります。
特にノーコードツールの運営会社の多くは国外に存在しているため、規格の有無に関しては注意が必要です。
以下が代表的な情報セキュリティに関する国際規格です。
- ISO27001
- FedRamp
- SOC1
- SOC2
- IRAP
中でも米国政府が採用するセキュリティ基準を満たすサービスのみに与えられる規格が「FedRAMP」で「米国政府機関に認められた堅牢なシステムである」というお墨付きとなる規格です。
ノーコードツールの運営企業はアメリカが圧倒的に多いので、FedRAMPの取得の有無を1つの判断基準にしてみるのはいかがでしょうか。
【まとめ】ノーコードでも十分なセキュリティ対策を講じることが可能
この記事ではノーコードが提供するセキュリティ機能と導入前に確認すべきことを徹底解説していきます。
ノーコードは企業が求める基本的なセキュリティ対策に必要な機能を提供しています。
- 認証機能
- 2段階認証
- サードパーティ認証
- データアクセス制御
- データ暗号化
- 各種ログ管理
ただし、ノーコードで開発するシステムの活用範囲とデータの重要度によってはセキュリティ対策が不十分ではない可能性もあります。
重要なのはノーコードが提供するセキュリティ対策を理解した上で、自社がノーコードを活用して開発するシステムの活用範囲と保存するデータの重要度から対策が十分か否かの確認をすることです。
いきなり基幹系システムのような巨大なシステムや顧客との相互利用システムではなく、活用範囲が小さく、データの重要度が低いシステム開発にノーコードを活用するのがおすすめです。
ノーコードツールごとに提供するセキュリティ対策は様々なので、必ず活用前にツールの公式HPからセキュリティ対策を確認してください。
また、システム開発の外注先選びでお困りの方は、弊社までお気軽にご相談ください。
ノーコード・ローコードを用いた開発事例の共有、ツール選定のサポートから要件定義、実際の開発支援まで包括的にサポートさせていただくことが可能です。
システム開発を失敗しないために、弊社が相見積もりの取得までをサポートさせていただくことも可能です。むやみな営業電話などは決して行いませんので、まずは無料のご相談をお待ちしております。
