プロダクトオーナー(PO)にこそ「情報セキュリティマネジメント試験」を受けて欲しいと切実に願う理由
情報セキュリティマネジメントの当事者になってしまったTNKです。
最近他社事例ではありますが、アジャイルな開発手法においてセキュリティが軽視されているのではないかと感じるような事象を目にすることがあり、他人事ではないなと思い立ったので、TechBlogを書いてみました。
昨今、市場の変化に俊敏に対応するために、アジャイルな開発手法を取り入れる企業が増えているそうです。
弊社も例に漏れず、スクラム(Scrum)で開発を進めることが増えてきています。
スクラムでは、プロダクトの価値を最大化することに責任を持つプロダクトオーナー(PO)が重要な役割を果たします。
プロダクトオーナーは「プロダクトが目指すべき姿を明確化」し、「何を開発するかを決める」役割であり、開発チームが取り組むべき作業リストであるプロダクトバックログを管理し、その優先順位付けを行います。
この優先順位付けでは、ユーザーにとっての価値、ビジネスとしての成功、開発のスピードや品質を上手くバランスさせる必要がありますが、プロダクトの価値向上に集中するあまり、セキュリティ面が疎かになってしまうことが多いのが実情ではないでしょうか。
しかし、現代のシステム開発においてセキュリティは避けて通れない要素です。
サイバー攻撃の脅威は日々増大しており、情報漏洩やシステム停止といった被害を受けた場合、せっかく生み出したプロダクトの価値を根底から覆してしまいかねず、決して蔑ろにして良いものではないはずです。
プロダクトオーナーこそセキュリティを理解するべきと考えるに至った現状
システム開発においてセキュリティ対策は、プロダクト側からの要求事項として明確に求められるのではなく、暗黙的に要求される「非機能要件」として扱われることが多いのではないでしょうか。
つまり「システムが満たすべき品質特性」の一つではあるものの、ユーザーが直接触れる「機能」とは別のものと見なされがちです。
しかし、サイバー攻撃の脅威が現実となり、事業継続を揺るがす事態が頻発する現代において、セキュリティはもはやプロダクトの根幹をなす「機能」そのものと言える側面を持つようになっています。
特に、多くの企業でSaaSの利用が進み、従業員の入退職や組織変更が頻繁に行われる状況では、アカウント管理が極めて重要なセキュリティ要素であり、リスクとなり得ます。
退職者や外部委託契約終了者のアカウントが適切に無効化されていないことは、情報漏洩や不正アクセスの直接的な原因となりうるからです。
この課題に対応するためのセキュリティ要件として、企業のID管理基盤と連携するシングルサインオン(SSO)のためのSAML認証の実装が検討されることが増えています。
ID管理基盤で退職者のアカウントが無効化されれば、連携するシステムへのアクセスも自動的に遮断されるため、網羅的かつ効率的なアカウント管理が実現できるからです。
しかし、ここでプロダクトオーナーがセキュリティに関する理解を持っていないと、見落としがちなポイントがあります。
たとえSAML認証を導入したとしても、そのシステムに従来のID/パスワード認証でログインできる代替手段が残っている場合、ID管理基盤側でアカウントが無効化されても、そのID/パスワードさえ知られていれば不正にログインできてしまうことになります。
そのようなサービスは存在しないと思われるかもしれませんが、実際に弊社が導入を検討したSaaSのいくつかで、このような事例がありました。
そのSaaSのプロダクトオーナーにとってSAML認証とは便利な認証機能の1つでしかないということなのか、理解が足りていないために必要十分な機能を実装したつもりだったのかは判断できませんでしたが、SaaSを選定する際に不採用となる十分な理由になり得るでしょう。
SAML認証は様々なID管理基盤との連携が必要になるため、それなりに実装コストが高いはずなのですが、せっかく実装した機能がユーザーの視点では役に立たないものになってしまっているわけですから、非常にもったいない話です。
このような悲しい事例が増えないよう、プロダクトオーナーにはぜひセキュリティに関する基礎的な知識を身に付けていただきたいと願うようになりました。
プロダクトオーナーがセキュリティについて理解を深めることのメリット
プロダクトオーナーがセキュリティに関する基本的な知識を身に付けた場合、下記のようなメリットがあります。
- セキュリティ要件の理解と優先順位付けがしやすくなる
プロダクトオーナーは、脅威分析に基づき、想定されるリスクの大きさを評価し、「最低限」実装すべきセキュリティ要件を見極める必要があります。
プロダクトオーナーがセキュリティリスクや事業被害の深刻度を理解していれば、ビジネス価値と安全性のバランスを適切に判断し、重要なセキュリティ対策をプロダクトバックログで高い優先順位に置くことができます。
セキュリティ要件を単なるコストではなく、信頼性や長期安定稼働といったプロダクトの本質的な価値を高める投資として捉える視点を持つことができるようになるわけです。 -
セキュリティ要件を実装するためのコストを削減することができる
セキュリティ対策は、開発プロセスの初期段階(要件定義、設計)で行うほど後工程で発生するコストが少なくなります。
プロダクトオーナーが設計段階からセキュリティ要件を織り込んでおくことの重要性を理解していれば、手戻りによる開発期間の延長を防ぐなど、実装のためのコストを最適化することができるでしょう。
また、プロダクトオーナーがセキュリティの基本的な考え方や用語を理解していれば、開発チームやセキュリティ担当者との意思疎通がスムーズになり、認識の齟齬による手戻りを減らすことにも繋がります。 -
ステークホルダーと効果的なコミュニケーションをとることができる
プロダクトオーナーは、顧客や出資者などのステークホルダーとの調整や交渉を行う必要があります。
セキュリティリスクやそれに対する対策の必要性をステークホルダーに分かりやすく説明するためには、プロダクトオーナー自身がこれらの内容を深く理解している必要があるでしょう。 -
チーム内のセキュリティ意識が向上する
多くの企業でセキュリティ人材は不足しています。プロダクトオーナーがセキュリティの重要性を理解し、積極的に開発プロセスに組み込む姿勢を示すことで、チーム全体のセキュリティ意識の向上を促すことができます。
チーム内でセキュリティをリードすることができる人材を育てることにも繋がります。
情報セキュリティマネジメント試験の勉強をすることで身に付く知識
セキュリティに関する基本的な知識を体系的に学ぶための手段として、「情報セキュリティマネジメント試験」の受験がおすすめです。
出題範囲にはプロダクトオーナーが知っておくべき多くの重要な概念が含まれているため、必要な知識を幅広く身に付けることができるようになっています。
具体的には、以下のような知識を習得することができます。
- 情報セキュリティの基本について(機密性、完全性、可用性の三要素など)
- 脅威と脆弱性、サイバー攻撃手法について
- 情報セキュリティの管理手法について(情報資産、リスクの種類、リスクアセスメント、管理策、インシデント管理など)
- 情報セキュリティ対策について(マルウェア対策、不正アクセス対策、情報漏洩対策、アクセス管理など)
- セキュリティ実装技術について(アプリケーションセキュリティなど)
- 情報セキュリティ関連法規について(個人情報保護法、不正アクセス禁止法など)
特に、リスクアセスメントや管理策に関する知識は、脅威分析に基づいたリスク評価を行い、最低限必要なセキュリティ要件を決定する上で直接的に役立ちます。
また、情報セキュリティ関連法規に関する知識は、法規制やガイドラインに準拠した開発を進める上で必須です。
情報セキュリティマネジメントの知識は、プロダクトオーナーが開発するシステムを「守る」という視点だけでなく、セキュリティを考慮することがシステムの信頼性向上、保守性の向上、そして長期的なビジネス価値の最大化に繋がることを理解する手助けとなるでしょう。
まとめ
スクラムにおいて、プロダクトオーナーはプロダクトの成否を握る重要なポジションです。
スピードを重視しつつも、セキュリティリスクを適切に管理し、安全で信頼性の高いプロダクトを提供することは、プロダクトオーナーの責務と言えます。
情報セキュリティマネジメント試験で得られる体系的な知識は、プロダクトオーナーがビジネスと技術、そしてセキュリティのバランスを取りながら、チームを成功に導くための強力な武器となるはずです。