セキュリティ対策は「完成してから追加」では遅い——。企画・設計の段階からセキュリティを組み込んでおくアプローチが「セキュリティ・バイ・デザイン」です。攻撃が高度化する時代のシステム開発、そしてAI開発の大前提となる考え方を解説します。

📖 ひと言でいうと

セキュリティ・バイ・デザイン(Security by Design)とは、システムやソフトウェアの開発において、初期の企画・設計段階からセキュリティ対策を組み込むアプローチのことです。

例えるなら、建物を建ててから耐震補強するのではなく、設計図の段階で耐震構造にしておく発想です。後から柱を足すのは大工事になりますが、最初から織り込めば合理的に安全を確保できます。ソフトウェアでも同じで、後付けの対策は穴が残りやすく、修正コストも膨らみます。

🖼 1枚でわかるセキュリティ・バイ・デザイン

セキュリティ・バイ・デザイン
  • 定義 — 企画・設計段階からセキュリティ対策を組み込む開発アプローチ
  • 背景 — 後付け対策は脆弱性が残り、修正コストと時間が膨大
  • 日本での経緯 — NISCが2011年頃から提唱し認知が拡大
  • コストの目安 — 設計時の対策コスト1に対し運用時は100倍(IPA報告)
  • AIでの意義 — データ改ざん・不正アクセス防止、信頼できるAIの土台
つくもち屋「G検定対策」SUMMARY

📘 公式テキストの説明

セキュリティ・バイ・デザイン(Security by Design)は、システムやソフトウェアの開発において、初期の企画・設計段階からセキュリティ対策を組み込むアプローチを指す。従来、セキュリティ対策は開発の後半や運用段階で追加されることが多かったが、この方法では脆弱性が残る可能性が高く、修正には多大なコストと時間がかかる。セキュリティ・バイ・デザインの考え方では、開発の初期からセキュリティ要件を明確にし、設計や実装に反映させることで、より堅牢なシステムを構築することが可能となる。このアプローチは、サイバー攻撃の多様化や高度化が進む現代において、システムの安全性を確保するために不可欠とされている。例えば、内閣官房情報セキュリティセンター(NISC)は、2011年頃から「情報セキュリティを企画・設計段階から確保するための方策」としてセキュリティ・バイ・デザインを提唱しており、これにより日本国内での認知が広がった。AIシステムにおいても、セキュリティ・バイ・デザインの適用は重要である。AIは大量のデータを処理し、学習する特性を持つため、データの整合性やプライバシー保護が求められる。開発初期からセキュリティ対策を組み込むことで、データの改ざんや不正アクセスを防ぎ、信頼性の高いAIシステムを実現することができる。また、AIモデルのトレーニング時にバイアスが含まれないようにするためにも、セキュリティ・バイ・デザインの考え方が有効である。さらに、セキュリティ・バイ・デザインの実践により、開発工程における手戻りを減らし、コスト削減や納期遵守にも寄与する。IPA(情報処理推進機構)の報告によれば、設計時のセキュリティ対策コストを1とした場合、運用時の対策コストは100倍になるとされており、初期段階でのセキュリティ対策の重要性が示されている。

覚えどころは3点です。①定義(企画・設計段階から組み込む)、②日本での提唱主体と時期(NISC・2011年頃)、③コストの数字(設計時1に対し運用時100倍というIPAの報告)。倫理的な理想論ではなく、コスト面でも合理的な開発手法である、という論理構造をつかみましょう。

🔍 しっかり理解する

「後付け」と「作り込み」の違い

従来型の開発では、機能を作り終えた後半工程や、リリース後の運用段階でセキュリティ対策を追加することが少なくありませんでした。しかしこの方法には構造的な弱点があります。

🅰 セキュリティ・バイ・デザイン
  • 企画・設計段階でセキュリティ要件を明確化
  • 設計・実装に最初から反映し堅牢に
  • 手戻りが減り、コスト削減・納期遵守にも寄与
  • 対策コストの目安は「1」(設計時)
🅱 従来型(後付け対策)
  • 開発後半・運用段階で対策を追加
  • 設計に起因する脆弱性が残りやすい
  • 発覚後の修正は大規模な手戻りに
  • 運用時の対策コストは「100倍」に膨張

パスワードの保存方法、通信の暗号化、権限管理といった仕組みは、システムの土台に関わるため、完成後に変更しようとすると影響範囲が全体に及びます。設計段階なら1行の方針決定で済むことが、運用段階では停止を伴う大改修になる——これが「1対100」というコスト差の直感的な意味です。

AIシステムへの適用

AIは「大量のデータを処理し、学習する」という特性上、従来のソフトウェアにはないセキュリティ上の弱点を持ちます。学習データが改ざんされればモデルの挙動そのものが歪みますし(データ汚染)、運用中のモデルは細工された入力による誤動作(Adversarial Attack)や、モデル・データの窃取といった攻撃にさらされます。

これらの攻撃の多くは、モデルが完成してからでは防ぎにくいのが特徴です。学習データの入手経路の検証、アクセス制御、入力の検証といった対策を開発初期から織り込むことで、データの改ざんや不正アクセスを防ぎ、信頼性の高いAIシステムを実現する——これがAI時代にセキュリティ・バイ・デザインが強調される理由です。公式テキストは、トレーニング時にバイアスが混入しないようにする観点でもこの考え方が有効だとしています。

プライバシー・バイ・デザインとの関係

「〇〇・バイ・デザイン」という名前のとおり、プライバシー・バイ・デザインと発想は共通で、「問題が起きてから対処するのではなく、設計段階から作り込む」という思想の仲間です。違いは守る対象で、プライバシー・バイ・デザインは個人情報・プライバシーの保護、セキュリティ・バイ・デザインは攻撃・改ざん・不正アクセスなどからのシステムの安全確保が主眼です。試験では両者の入れ替え問題が想定されるので、対象の違いを明確にしておきましょう。

💡 具体例で考える

政府調達とIoT機器のセキュリティ

日本では内閣官房情報セキュリティセンター(NISC)が2011年頃から、政府機関の情報システムについて「情報セキュリティを企画・設計段階から確保するための方策」としてセキュリティ・バイ・デザインを提唱してきました。近年は、出荷後のアップデートが難しいIoT機器や、社会インフラを支えるシステムの開発でも、この考え方が標準的な前提となっています。「作ってから守る」が通用しない領域ほど、設計段階からの作り込みが効くのです。

AI開発プロジェクトでの実践

例えば医療データを学習する診断支援AIを開発する場合、セキュリティ・バイ・デザインの実践では、企画段階で「学習データの供給元をどう検証するか」「モデルや推論APIへのアクセスを誰に許すか」「攻撃的な入力をどう検知するか」といった要件を先に定義し、アーキテクチャに反映します。運用開始後に学習データの汚染が発覚してからモデルを作り直すコストを考えれば、初期投資のほうがはるかに安い、という判断です。

⚠️ よくある誤解・紛らわしい用語

💡 ポイント
  • プライバシー・バイ・デザインとの違い — 発想は同じでも対象が異なります。個人情報・プライバシー保護が主眼ならプライバシー・バイ・デザイン、攻撃や改ざんからの安全確保が主眼ならセキュリティ・バイ・デザインです。
  • 「運用段階の対策は不要」ではない — 設計段階から組み込むことが本質であって、運用時の監視・アップデートを否定する考え方ではありません。初期に土台を固めるほど運用時の負担が減る、という関係です。
  • 特定のセキュリティ製品・技術の名前ではない — ファイアウォールや暗号化などの個別技術ではなく、開発プロセス全体の進め方・アプローチを指します。
  • コスト増の施策ではない — 初期工数は増えても、手戻り削減・納期遵守・運用時コスト(100倍)の回避により、トータルではコスト削減に寄与するとされています。

📝 試験でのポイント

💡 ポイント
  • 定義問題では「初期の企画・設計段階から」「セキュリティ対策を組み込む」「アプローチ」という言い回しが正解の目印です。
  • 「NISCが2011年頃から提唱」「IPAの報告で設計時1に対し運用時100倍」という固有情報は、正誤判定の材料として想定されます。
  • 「開発の最終段階でセキュリティテストを行うことを指す」「運用開始後に対策を追加する手法」といった、後工程の話にすり替えた誤答に注意しましょう。
  • プライバシー・バイ・デザインとの対比で「どちらの説明か」を判定させる問題に備え、守る対象(安全性か、プライバシーか)で区別できるようにしておきましょう。

📚 まとめ

💡 ポイント
  • セキュリティ・バイ・デザインは、企画・設計段階からセキュリティ対策を組み込む開発アプローチです。
  • 後付けの対策は脆弱性が残りやすく、IPAの報告では運用時の対策コストは設計時の100倍とされます。
  • 日本ではNISCが2011年頃から提唱し、認知が広がりました。
  • 大量のデータを学習するAIシステムでは、データ改ざんや不正アクセスの防止、信頼性確保のために設計段階からの組み込みが特に重要です。