IT人材不足が企業の大きな課題となっている中で、最低限のコーディングでシステム開発が可能なローコード開発がシステム担当者から注目を集めています。
ローコード開発を採用すれば、コーディングができるIT人材が不足している企業であっても最低限のエンジニアもしくはコーディングができない非エンジニアであっても、システムを開発することが可能。
最小限のリソースで開発が可能というローコード開発のメリットに注目しがちですが、システムを導入する場合は運用後のセキュリティーに気を配る必要があります。
システムは開発後の運用後が極めて重要であり、仮にシステムのセキュリティーに欠陥があった場合、顧客情報の漏洩が発生し、深刻な問題に発展する場合が…。
この記事では、ローコード開発をウリにする弊社が、ローコード開発におけるセキュリティー対策を解説します。ぜひ、参考にしてみてください。
\ システム開発にお悩みの方へ /
貴社のシステム開発・アプリ開発を爆速で進めるための
超高速開発が分かる資料3点セット
【下記の3点の資料が無料でダウンロードできます】
- 【料金表付き】新規事業を爆速で立ち上げられる高速開発支援サービスの紹介資料
- 【最短24時間で納品?】高速開発のプロジェクト支援事例集
- 【導入に向けて】開発プラットフォームのランニングコスト比較表
情報システム部が求めるセキュリティー要素とは?
ローコード開発ツールが提供するセキュリティー対策を理解する前に、社内のシステム開発や管理・運用を行う情報システム部はどのようなセキュリティー要素を求めているのでしょうか。
ここでは情報システム部が求めるセキュリティーの3要素を解説していきます。
機密性
企業が保有する情報資産は権限管理によるアクセス制御やパスワード認証などを用いて、情報資産へのアクセスや参照を管理することで機密性を高める必要があります。
機密性が不十分な場合は従業員が重要度の高い技術データに勝手にアクセスして、外部に持ち出してしまう、悪意のあるハッカーによるサイバー攻撃によって、顧客情報が流出するなどの事態に発展します。
対策例としては以下の機能が挙げられます。
- 権限管理によるアクセス制御
- パスワード認証
- 多段階認証
- 暗号化
- データ保管エリアへの立ち入り制限
特に権限管理によるアクセス制御はデータの機密性を保持するための必須機能と言えるほど、重要な機能となっています。
権限管理はほとんどのシステムが搭載している機能ですが、導入時には権限管理機能における配置転換や人事異動発生時にスムーズな権限移行が可能かどうかの確認が必要です。
企業では定期的に配置転換や人事異動が定期的に発生し、特定期日に過去の閲覧権限を削除し、新たな権限を付与する必要があります。
システムの利用だけでなく、企業活動における組織変更が起きた際にも柔軟に対応し、機密性を維持することが求められます。
完全性
システムは保持する情報資産が改竄されることなく正確に保管・維持して情報資産の完全性を確保する必要があります。
企業はビジネスの中で生まれた情報資産の正確性を保つ必要があり、正確性を保つことができなくなった場合には企業の信用失墜問題に直結します。
対策例としては以下の機能が挙げられます。
- 変更履歴・操作履歴のログ管理
- 暗号化
- データのバックアップ
完全性を高める方法として、システムにおける全てのデータの変更履歴、操作履歴のログ管理が代表的です。
ログ管理を行うことで、データに対して「いつ、誰が、何を変更したか」を追跡することが可能となります。
不正なデータ変更を行った場合は改変の履歴を遡ることで、操作ミスなのか、悪意のあるユーザーによるものかの特定が可能となり、すぐに修正ができます。
また、悪意のあるユーザーによってデータの一部が削除された場合でもバックアップがあれば、データの復元も可能になるため、データの完全性を担保することが可能です。
可用性
システムには社内に保有する情報資産に対して、必要な時にいつでもアクセスすることができる可用性が必要です。
システムの3要素における「機密性」と「完全性」を優先するためにセキュリティーを堅牢なものにしたとしても、ユーザーがデータを利用したい時にすぐに利用できなければ意味がなく、システムには必要な時にすぐに利用できる状態が求められます。
また、システムダウンや大規模な天災などの予期せぬ事態に陥った場合にどれだけ素早く、システムに通常通りアクセスすることができるかも可用性を判断する基準となります。
対策例としては以下の機能が挙げられます。
- システムの二重化
- システムのクラウド化
システムの二重化とは同じシステムを2つ用意して、1つは通常稼働用のシステムとし、もう1つのシステムは通常稼働用が使えなくなった場合に稼働するサブシステムとすることで、システムそのものが使えない状態を防ぐことができます。
システムの可用性を担保するためには、何かあった際の代替策もしくは保険を用意する必要があります。
ローコード開発ツールごとのセキュリティー対策
ここまで情報システム部が求めるセキュリティーにおける3要素を紹介してきましたが、システム導入時には開発することに目が行きがちですが、システムを活用する以上、セキュリティー対策にも目を向けて、ツール選定をする必要があります。
ここでは代表的なローコード開発ツールが提供するセキュリティー対策機能を紹介します。
PowerApps
PowerAppsはマイクロソフト社が提供するローコード開発プラットフォームです。
普段業務の場で利用しているExcelやパワーポイントを扱う操作感と同じ要領でシステムを開発できることが特徴です。
以下がPower Appsの提供するセキュリティー対策機能です。
- アクセス権限
- 監査ログ
- データベース複製
- セキュリティーロール
Power Appsが提供するアクセス権限では細かくユーザーごとのアクセス権限を設定することが可能で、現在以下の8種類のユーザー権限を設定することが可能です。
- 作成
- 読み取り
- 書き込み
- 削除
- 追加
- 追加先
- 割り当て
- 共有
通常のシステムで代表的な権限は「作成、読み取り、書き込み、削除、追加」の5つになりますが、それ以外のレコード関連付け、所有権付与、共有まで制御可能です。
また、PowerAppsで構築したシステムの監査ログは全て追跡可能で、システム管理者側で自由のログの抽出が実行できます。
Sales force Lightning Platform
Salesforce Lightning Platformはセールスフォース・ドットコムが開発・提供しているローコード開発ツールです。
世界的に有名な営業管理ツールである「Salesforce CRM」もSalesforce Lightning Platform上で構築されています。
以下がSalesforce Lightning Platformの提供するセキュリティー対策機能です。
- ユーザー認証
- データアクセス管理
- 組織セキュリティ
- リアルタイムイベントモニタリング
- 脆弱性チェック
Salesforce Lightning Platformは上記の他にもSalesforce Shieldというセキュリティー要素が存在し、以下の要素で構成されています。
- プラットフォームの暗号化
- イベント監視
- 項目監査履歴
Salesforce Shieldを活用すれば、システム管理者はシステムの信頼性、透明性、コンプライアンス、ガバナンスを担保する対策を取ることが可能です。
→Salesforce Lightning Platformの公式サイトはこちら
Kintone
Kintoneはサイボウズ株式会社が提供するローコード開発ツールです。
日本国内における代表的なローコード開発ツールで、企業における共通業務に対するテンプレートアプリが用意されており、ユーザーはテンプレートアプリを活用すれば、すぐに利用できるローコード開発ツールです。
以下がKintoneの提供するセキュリティー対策機能です。
- IPアドレス制限
- セキュアアクセス
- Basic認証/パスワードポリシー設定
- 2要素認証
- アクセス権
サイボウズ株式会社ではソフトウェアの脆弱性による被害を防止する取り組みとしてセキュリティインシデント対応専門チーム「Cy-SIRT」が設置されています。
社外組織や外部の専門家と協同で、インシデント発生の予防、早期検知、早期解決、被害最小化を目的とした活動をしており、脆弱性発見への取り組みを通して、脆弱性被害防止とソフトウェアの信頼性を高めています。
その他にも、電源、ネット回線、ネットワークの冗長化や人的オペレーションを排除した自動化でヒューマンエラーのリスクを低減するなどセキュリティーにたしいて様々な取り組みを実行しています。
ローコード開発導入前に確認すべきこと
ここまで、情報システム部が求めるセキュリティー要素とローコード開発ツールそれぞれが提供するセキュリティー対策機能を紹介してきました。
ローコード開発の導入前には社内で確認すべきことがいくつか存在します。
ここではローコード開発導入前に確認すべきことを解説します。
情報セキュリティポリシーの確認
ローコード開発導入前には必ず社内に存在する情報セキュリティーポリシーの内容と導入するツールのセキュリティー対策を照らし合わせる必要があります。
企業や組織には必ず、情報セキュリティを保つための全社の指針や方針である情報セキュリティーポリシーが存在します。
情報セキュリティーポリシーには以下の内容が記載されています。
- 組織の情報運用方針
- 情報セキュリティに対する考え方
- システム運用規定・対策基準
情報セキュリティーポリシーは企業におけるシステム運用のための法律のようなもので、導入するシステムの全てはセキュリティーポリシーに則った内容で運用する必要があります。
導入前には必ず情報セキュリティーポリシーの内容を確認し、導入を希望するローコード開発ツールの内容やセキュリティー対策がセキュリティーポリシーに抵触しないかの確認が必須となります。
アフターサポートの確認
ローコード開発ツール導入時にはアフターサポートの有無とサポート内容の確認が必要です。
ローコード開発は従来のスクラッチ開発やパッケージシステムとは違い、開発プラットフォーム内でユーザー自身がシステムを開発するため、ローコードプラットフォームに依存する形となります。
ローコード開発はまだまだ発展途上であり、ローコード開発の知見が豊富な人材が潤沢にいる状態ではないので、トラブル発生時には社内の情報システム部だけで解決できないケースが想定できます。
不具合発生時のサポート方法、ヘルプデスクの有無など確認するべき点は多く存在しますが、特にプラットフォームが原因でなく、開発側に問題があり、システムが故障した場合に手厚いサポートを受けられるのかの確認は必須です。
【まとめ】ローコード開発を採用する際は事前のセキュリティー確認が必須
この記事ではローコード開発におけるセキュリティー対策を解説すると共にツールごとに提供しているセキュリティー対策を解説してきました。
ローコード開発導入時には事前に導入検討しているツールのセキュリティー対策の確認と社内セキュリティーポリシーの照らし合わせが必須となります。
従来のシステム開発とは違い、ローコード開発は開発プラットフォームに依存する形となるため、ユーザー側で独自のセキュリティー対策を施すことはできません。
そのため、導入時には必ず、社内の情報セキュリティーポリシーの内容を確認し、導入検討するローコード開発ツールのセキュリティー対策が十分であるかを検討する必要があります。
ローコード開発導入に否定的なユーザーの大半がセキュリティーに対する懸念を理由としていますが、各種ローコード開発ツールは豊富なセキュリティー対策を提供しているので、十分なセキュリティー対策を施したシステム開発が可能でしょう。
