プロダクトオーナー（PO）にこそ「情報セキュリティマネジメント試験」を受けて欲しいと切実に願う理由

情報セキュリティマネジメントの当事者になってしまったTNKです。

最近他社事例ではありますが、アジャイルな開発手法においてセキュリティが軽視されているのではないかと感じるような事象を目にすることがあり、他人事ではないなと思い立ったので、TechBlogを書いてみました。

昨今、市場の変化に俊敏に対応するために、アジャイルな開発手法を取り入れる企業が増えているそうです。
弊社も例に漏れず、スクラム（Scrum）で開発を進めることが増えてきています。

スクラムでは、プロダクトの価値を最大化することに責任を持つプロダクトオーナー（PO）が重要な役割を果たします。
プロダクトオーナーは「プロダクトが目指すべき姿を明確化」し、「何を開発するかを決める」役割であり、開発チームが取り組むべき作業リストであるプロダクトバックログを管理し、その優先順位付けを行います。

この優先順位付けでは、ユーザーにとっての価値、ビジネスとしての成功、開発のスピードや品質を上手くバランスさせる必要がありますが、プロダクトの価値向上に集中するあまり、セキュリティ面が疎かになってしまうことが多いのが実情ではないでしょうか。

しかし、現代のシステム開発においてセキュリティは避けて通れない要素です。
サイバー攻撃の脅威は日々増大しており、情報漏洩やシステム停止といった被害を受けた場合、せっかく生み出したプロダクトの価値を根底から覆してしまいかねず、決して蔑ろにして良いものではないはずです。

プロダクトオーナーこそセキュリティを理解するべきと考えるに至った現状

システム開発においてセキュリティ対策は、プロダクト側からの要求事項として明確に求められるのではなく、暗黙的に要求される「非機能要件」として扱われることが多いのではないでしょうか。
つまり「システムが満たすべき品質特性」の一つではあるものの、ユーザーが直接触れる「機能」とは別のものと見なされがちです。

しかし、サイバー攻撃の脅威が現実となり、事業継続を揺るがす事態が頻発する現代において、セキュリティはもはやプロダクトの根幹をなす「機能」そのものと言える側面を持つようになっています。

特に、多くの企業でSaaSの利用が進み、従業員の入退職や組織変更が頻繁に行われる状況では、アカウント管理が極めて重要なセキュリティ要素であり、リスクとなり得ます。
退職者や外部委託契約終了者のアカウントが適切に無効化されていないことは、情報漏洩や不正アクセスの直接的な原因となりうるからです。

この課題に対応するためのセキュリティ要件として、企業のID管理基盤と連携するシングルサインオン（SSO）のためのSAML認証の実装が検討されることが増えています。
ID管理基盤で退職者のアカウントが無効化されれば、連携するシステムへのアクセスも自動的に遮断されるため、網羅的かつ効率的なアカウント管理が実現できるからです。

しかし、ここでプロダクトオーナーがセキュリティに関する理解を持っていないと、見落としがちなポイントがあります。
たとえSAML認証を導入したとしても、そのシステムに従来のID/パスワード認証でログインできる代替手段が残っている場合、ID管理基盤側でアカウントが無効化されても、そのID/パスワードさえ知られていれば不正にログインできてしまうことになります。

そのようなサービスは存在しないと思われるかもしれませんが、実際に弊社が導入を検討したSaaSのいくつかで、このような事例がありました。

そのSaaSのプロダクトオーナーにとってSAML認証とは便利な認証機能の1つでしかないということなのか、理解が足りていないために必要十分な機能を実装したつもりだったのかは判断できませんでしたが、SaaSを選定する際に不採用となる十分な理由になり得るでしょう。

SAML認証は様々なID管理基盤との連携が必要になるため、それなりに実装コストが高いはずなのですが、せっかく実装した機能がユーザーの視点では役に立たないものになってしまっているわけですから、非常にもったいない話です。

このような悲しい事例が増えないよう、プロダクトオーナーにはぜひセキュリティに関する基礎的な知識を身に付けていただきたいと願うようになりました。

プロダクトオーナーがセキュリティについて理解を深めることのメリット

プロダクトオーナーがセキュリティに関する基本的な知識を身に付けた場合、下記のようなメリットがあります。

セキュリティ要件の理解と優先順位付けがしやすくなる
プロダクトオーナーは、脅威分析に基づき、想定されるリスクの大きさを評価し、「最低限」実装すべきセキュリティ要件を見極める必要があります。
プロダクトオーナーがセキュリティリスクや事業被害の深刻度を理解していれば、ビジネス価値と安全性のバランスを適切に判断し、重要なセキュリティ対策をプロダクトバックログで高い優先順位に置くことができます。
セキュリティ要件を単なるコストではなく、信頼性や長期安定稼働といったプロダクトの本質的な価値を高める投資として捉える視点を持つことができるようになるわけです。
セキュリティ要件を実装するためのコストを削減することができる

セキュリティ対策は、開発プロセスの初期段階（要件定義、設計）で行うほど後工程で発生するコストが少なくなります。
プロダクトオーナーが設計段階からセキュリティ要件を織り込んでおくことの重要性を理解していれば、手戻りによる開発期間の延長を防ぐなど、実装のためのコストを最適化することができるでしょう。
また、プロダクトオーナーがセキュリティの基本的な考え方や用語を理解していれば、開発チームやセキュリティ担当者との意思疎通がスムーズになり、認識の齟齬による手戻りを減らすことにも繋がります。
ステークホルダーと効果的なコミュニケーションをとることができる

プロダクトオーナーは、顧客や出資者などのステークホルダーとの調整や交渉を行う必要があります。
セキュリティリスクやそれに対する対策の必要性をステークホルダーに分かりやすく説明するためには、プロダクトオーナー自身がこれらの内容を深く理解している必要があるでしょう。
チーム内のセキュリティ意識が向上する

多くの企業でセキュリティ人材は不足しています。プロダクトオーナーがセキュリティの重要性を理解し、積極的に開発プロセスに組み込む姿勢を示すことで、チーム全体のセキュリティ意識の向上を促すことができます。
チーム内でセキュリティをリードすることができる人材を育てることにも繋がります。