サービスに関する
お問い合わせ

緊急対応 専用窓口

セキュリティの緊急事態が発生したらご遠慮なくお問い合わせください。ご相談は無料です。

セキュリティの
学び場

SHIFT SECURITY セキュリティの学び場 技術や仕組み 「セキュア・バイ・デフォルト」の考え方

「セキュア・バイ・デフォルト」の考え方

「セキュア・バイ・デフォルト」の考え方
目次
  • セキュア・バイ・デフォルトとは
  • セキュア・バイ・デフォルトの重要性

セキュア・バイ・デフォルトとは

「セキュア・バイ・デフォルト」は英語で書けば「Secure By Default」、直訳すると「初期設定で安全な状態」にすることです。 すこしかみ砕くと、「特に意識をもってセキュリティを高めようとしなくても、なにもしない場合にはセキュリティが高い状態にすること」を指します。

例えばホテルの部屋のオートロックは一種の「セキュア・バイ・デフォルト」です。鍵を閉めるという「意図してセキュリティを上げる行動」をしないでも、部屋は施錠されて安全な状態になるからです。

セキュア・バイ・デフォルトの重要性

「セキュア・バイ・デフォルト」の考え方は、インターネットにさらされるサービスを提供する際にはとりわけ重要です。例えば、CMSのような、管理機能を持つWebサービスの場合、初期導入時に固定のユーザ名・パスワードに管理者権限を付与する、というのは安全ではありません。初期構築をした人が、パスワードを再発行する、あるいは自分用のアカウントを別途作成して最初のアカウントを破棄する、といったことを意図して行わないと、安全な状態にならないからです。

これを「セキュア・バイ・デフォルト」にするためには、例えばユーザ名は固定にするにしてもパスワードはランダムにした上、初回ログイン時にパスワード変更を強制するような仕組みを入れておく必要があります。世の中に新たにソフトウェアやサービスを提供する際には、「セキュア・バイ・デフォルト」の考え方に基づいて設計することが望ましいです

幸いなことに、大手クラウドベンダーの提供するサービスは「セキュア・バイ・デフォルト」になっていることが多いため、サービス利用者は最初は安全な状態から、徐々に自分の使いたいように「口を開けていく」ことができるようになっています。例えば、クラウド上で仮想マシンを起動したときには、メンテナンス用の入り口しか空いていない状態なので、そこに対してWebサーバを構築した後、HTTPやHTTPSといったサービスを公開していくといったやりかたです。

しかし、残念ながら世の中には「セキュア・バイ・デフォルト」の考え方に基づかないソフトウェアやIT機器は数多く存在します。一つには互換性の問題もありますし、利便性との絡みもあります。また、せっかく「セキュア・バイ・デフォルト」になっているものに、用途に応じて「口を開ける」作業の中で、意図せずに見せたくない人に見せたくないものを見せてしまうという事故もあります。

「意図しなくても安全」な状態が理想であるからこそ、理想的でないものの存在をきちんと把握して適切に手を打つこと、また「意図して設定を変える」ときには、その意味を理解した上で実行することが重要です。また、設定がセキュアな状態に常に保たれるよう、設定を監視する等の工夫も重要となります。

あなたの疑問を一緒に解決します!

解説してほしい用語や技術、仕組みについての疑問、
みなさまのクラウドセキュリティのお悩みに関して技術者が記事にして回答します!
ぜひご気軽にご投稿ください。

クラウドの脆弱性診断にご興味があるかたはこちら

この記事の著者 おがさわらなるひこ

2015年より株式会社SHIFTにてソフトウェアテスト自動化の顧客導入支援・プラットフォーム開発に従事。加えてSHIFT SECURITY設立に兼務で参画し、初期の標準化や教育などを担当。2019年に同社専任になってからは、開発者向けのソフトウェアセキュリティサービス、スマートフォンアプリ診断手法および社内ツール開発などを主な業務とする。
個人としては主にデスクトップ領域のオープンソースソフトウェアの愛好家であり、翻訳やバグ報告、雑誌やWeb媒体への執筆、イベントへの登壇なども行う。隠れた趣味はリバーカヤック。

\ 記事をシェアする /

サービスに関する
お問い合わせ