システム開発の発注前に知っておきたいセキュリティ対策の必須チェックリスト
公開日:
「新しい業務システムを導入したい。複数の開発会社から見積もりを取ったが、一番安いところに決めようか…」
システム開発を発注する際、コストを重視するのは当然の経営判断です。しかし、その「安さ」の裏に、将来のビジネスを根底から揺るがしかねない、深刻なセキュリティリスクが潜んでいるとしたら、どうでしょうか?
近年、企業の規模を問わず、ランサムウェアによる事業停止や、サプライチェーンの脆弱性を狙ったサイバー攻撃が急増しています。ひとたび個人情報漏洩などのセキュリティ事故が発生すれば、復旧費用や売上機会の損失だけでなく、長年かけて築き上げてきた社会的信用を一瞬で失いかねません。その損害額は、当初削減したはずの開発費用をはるかに上回る、取り返しのつかないものになる可能性があります。
「とはいえ、セキュリティは専門的でよく分からない」
「開発会社に、何をどこまで確認し、お願いすれば良いのだろう?」
このようなお悩みを抱える発注ご担当者様のために、本記事では、「発注者として最低限知っておくべきセキュリティのポイント」を、具体的なチェックリスト形式で徹底解説します。
なぜ安い見積もりは危険なのか?セキュリティ対策費用の実態
システム開発の見積もりにおいて、セキュリティ対策費用は「目に見えにくいコスト」となりがちです。そして、不自然に安い見積もりは、この「見えにくいコスト」、つまり、本来不可欠であるはずのセキュリティ対策を軽視、あるいは意図的に削っている可能性が極めて高いのです。
堅牢なセキュリティは、特定のツールを導入すれば完成するものではありません。以下のように、システム開発の全フェーズにおいて、然るべき対策を講じることで初めて実現します。
- 要件定義・設計フェーズ:そもそも脆弱性を生み出さない設計思想
- 開発・実装フェーズ:安全なコードを書くためのルール
- テストフェーズ:擬似的な攻撃を仕掛けて弱点を発見する「脆弱性診断」
- 運用・保守フェーズ:新たな脅威に対応するための継続的な監視とアップデート
これらの工程のいずれかが欠けても、システム全体に重大な弱点(脆弱性)が残ってしまいます。
「安さ」という魅力だけで開発会社を判断せず、「適切なリスク対策が講じられているか」という視点を持つことが、失敗しないシステム開発の絶対条件です。
【発注前に必ず確認!】セキュリティ対策必須チェックリスト7選
ここからは、開発会社との打ち合わせで必ず確認していただきたい7つのチェック項目をご紹介します。
ぜひこのリストを元に質問してみてください。担当者の回答が明確で、メリット・デメリットを含めて誠実な対応をしてくれるかどうかが、信頼できるパートナーを見極める重要な指標となります。
チェック1:個人情報や機密データは「暗号化」して保存しますか?
確認する理由
Webサイトの通信を暗号化する「常時SSL/TLS化(URLがhttps://で始まるもの)」は、今や常識です。しかし、本当に重要なのは、データベースに保存されている顧客情報や決済情報、機密情報といったデータそのものが暗号化されているかです。
万が一、サーバーに不正侵入されたとしても、重要データが暗号化されていれば、情報の中身を読み取られるという最悪の事態を防ぐことができます。
質問のポイント
【質問例】
「通信の暗号化はもちろんですが、データベースに保存する個人情報やパスワードなどの重要データも、きちんと暗号化した上で保管する設計になっていますか?」
【確認事項】
どのような暗号化方式を採用するのか、暗号化の鍵はどのように管理するのかまで踏み込んで確認できると、より安心です。
チェック2:WAF(Web Application Firewall)は導入しますか?
確認する理由
WAFは、Webアプリケーションを狙った特殊な攻撃からシステムを守る“Webの用心棒”のような存在です。一般的なファイアウォールがサーバーへの不正な通信を防ぐのに対し、WAFはアプリケーションの脆弱性を悪用する「SQLインジェクション」といった攻撃を検知し、ブロックします。これらの攻撃は、個人情報漏洩やWebサイト改ざんの主要な原因であり、対策は必須と言えます。
質問のポイント
【質問例】
「SQLインジェクションなどへの対策として、WAFの導入は可能ですか? 見積もりに含まれていますか、それともオプションでの対応になりますか?」
【確認事項】
WAFには様々な種類があります。クラウド型か、ソフトウェア型か、どのような攻撃パターンに対応しているのかを確認しましょう。
チェック3:システムの「脆弱性診断」は実施しますか?
確認する理由
脆弱性診断は、完成したシステムにセキュリティ上の弱点(脆弱性)がないかを、専門家の手や専用ツールでテストする「システムの人間ドック」です。開発者自身では気づきにくい設計上のミスや実装の不備を、攻撃者に悪用される前に発見・修正するために不可欠な工程です。
質問のポイント
【質問例】
「リリース前に、第三者による脆弱性診断を実施する工程は含まれていますか? 診断結果のレポートは提出いただけますか?」
【確認事項】
誰がどのタイミングで、どのような手法で実施するのかを明確にしましょう。
チェック4:「アクセス権限」は細かく設定できますか?
確認する理由
「誰が」「どの情報に」「どこまでアクセスできるか」を適切に管理することは、内部不正や操作ミスによる情報漏洩を防ぐための基本的なセキュリティ対策です。特に、従業員や顧客など、複数のユーザーが利用するシステムでは、業務に必要な最低限の権限のみを付与する設計が求められます。管理者、一般社員、アルバイトなど、役職や役割に応じて権限を柔軟に設定できる設計になっているかを確認しましょう。
質問のポイント
【質問例】
「ユーザーの役割に応じて、閲覧・編集・削除できる範囲を柔軟に制限することは可能ですか?」
【確認事項】
将来的な組織変更や役割の追加にも対応できるような、柔軟な権限管理機能が備わっているかを確認しましょう。
チェック5:「ログイン機能」は十分に安全ですか?
確認する理由
システムの入り口であるログイン機能は、最も攻撃者に狙われやすい箇所です。単純なパスワードの使い回しや、総当たり攻撃による不正ログインを防ぐための対策は必須です。
さらにセキュリティレベルを高めるなら、ID/パスワードに加えて、SMSや認証アプリで発行されるワンタイムコードの入力を求める「二要素認証(2FA/MFA)」の導入が効果的です。
質問のポイント
【質問例】
「パスワードポリシーの強制や、アカウントロック機能は標準で実装されますか? また、二要素認証にも対応は可能でしょうか?」
- パスワードポリシー:文字数や複雑性(英大文字・小文字・数字・記号の組み合わせ)を強制する。
- アカウントロック:複数回ログインに失敗した際に、アカウントを一時的にロックする。
【確認事項】
パスワードの最低文字数やロックアウトされるまでの試行回数などを、自社のセキュリティポリシーに合わせて設定変更できるかを確認しましょう。
チェック6:リリース後の「セキュリティアップデート」は保守契約に含まれていますか?
確認する理由
システムは「作って終わり」ではありません。システムを構成するOSやソフトウェアには日々新たな脆弱性が発見されるため、継続的なアップデートが不可欠です。これらの脆弱性を放置すると、攻撃者の格好の標的となります。
重要なのは、開発会社との保守契約に、「アプリケーション本体のバグ修正」だけでなく、それを動かす「サーバー(インフラ)環境のセキュリティアップデート」まで含まれているかを確認することです。ここが曖昧なまま契約すると、いざ脆弱性が発見された際に「対応は別料金です」と言われ、想定外のコストが発生する可能性があります。
質問のポイント
【質問例】
「リリース後の保守契約には、OSやミドルウェアの深刻な脆弱性が発見された際の、セキュリティアップデート作業も含まれていますか?」
【確認事項】
保守の対応範囲、対応時間(平日日中のみか、24時間365日か)、緊急時の連絡体制などを書面で明確にしておくことが重要です。
チェック7:「バックアップ」はどのように行いますか?
確認する理由
バックアップは、ランサムウェア攻撃やサーバー障害、自然災害など、万が一の事態からビジネスを守るための最後の砦です。しかし、ただバックアップを取っているだけでは不十分です。「どのくらいの頻度で」「どれくらいの時間で復旧できるのか」という目標を定め、実際に復旧できることをテストしておく必要があります。バックアップがなければ事業継続は不可能であり、個人情報保護法においても、漏えい等事案発生時の対応として極めて重要視されています。
質問のポイント
【質問例】
「データのバックアップは、どのような頻度・方法で取得しますか? また、万が一システムが停止した場合、どのくらいの時間で復旧できる想定でしょうか?」
【確認事項】
バックアップデータの保管場所(物理的に離れた場所か、クラウドか)や保管期間も合わせて確認しましょう。
セキュリティ対策必須チェックリストまとめ
- チェック1:個人情報や機密データは「暗号化」して保存しますか?
- チェック2:WAF(Web Application Firewall)は導入しますか?
- チェック3:システムの「脆弱性診断」は実施しますか?
- チェック4:「アクセス権限」は細かく設定できますか?
- チェック5:「ログイン機能」は十分に安全ですか?
- チェック6:リリース後の「セキュリティアップデート」は保守契約に含まれていますか?
- チェック7:「バックアップ」はどのように行いますか?
イーポートの強み:技術・体制・備え、三位一体のセキュリティ
私たち株式会社イーポートは、単にアプリケーションを開発する会社ではありません。お客様に安心してビジネスを続けていただくために、多層的なセキュリティ対策を講じています。
技術力:アプリケーションからインフラまで見据えた堅牢な設計
私たちは、アプリケーション開発だけでなく、それを動かすサーバーやネットワークといったインフラの設計・構築から運用・保守までを自社で一貫してご提供できます。これにより、アプリケーションとインフラ、両方の視点から最適なセキュリティ対策を施した、「全体として堅牢なシステム」をワンストップで構築します。個別の対策をバラバラに行うよりも、抜け漏れがなく、コスト効率の高いセキュリティが実現可能です。
開発標準:IPAの指針に準拠したセキュア開発
イーポートでは、独立行政法人情報処理推進機構(IPA)が公開している「安全なウェブサイトの作り方」に示された指針に準拠した開発を標準としています。これにより、開発の初期段階から脆弱性が生まれるリスクを体系的に排除します。
体制と備え:サイバー保険加入によるリスクヘッジ
万全の対策を講じることが大前提ですが、それでも100%の安全を保証することが難しいのがサイバー攻撃の現実です。そこで私たちは、万が一のインシデントに備え、サイバー保険にも加入しております。これは、私たちの技術的な対策への自信の表れであると同時に、お客様のビジネスへの影響を最小限に抑え、最後までお守りするための、私たちなりの責任の形です。
まとめ:セキュリティ対策は「コスト」ではなく未来への「投資」
システム開発におけるセキュリティ対策は、問題が起きてからでは手遅れです。事故を防ぐための「保険」であり、後から追加するとかえって高額になる「初期投資」と捉えるべきです。
目先の価格だけで開発会社を選んでしまうと、将来的に「安物買いの銭失い」となるリスクが非常に高くなります。ぜひ、今回ご紹介したチェックリストを使って、セキュリティに関する対話がしっかりとできる、信頼性の高いパートナーを見つけてください。それが、あなたの会社のDXプロジェクトを成功に導く、最も重要な鍵となります。
自社のシステム開発やセキュリティ対策に少しでも不安を感じたら、ぜひ一度イーポートにご相談ください。現状の課題整理から、将来を見据えた最適なセキュリティ戦略の立案まで、経験豊富なコンサルタントが専門家の視点から親身にアドバイスいたします。
この記事を書いた人
- システム開発、アプリ開発に関する情報をお届けします。
