トップ > Salesforce Hub > CRMとは > 業務効率化 > ローコード開発のセキュリティ対策方法や対策事例、注意点を解説

ローコード開発のセキュリティ対策方法や対策事例、注意点を解説

最終更新日:2024.4.22

システムやアプリを開発する過程でコーディングがいらないノーコード、あるいは最小限のコーディングで済むローコード。こういった開発手法において、「セキュリティは大丈夫なのか？」と不安を感じる人は多いかもしれません。

ここでは、ノーコード、ローコードにおけるセキュリティの考え方について解説します。

ローコード開発がDXを加速する
ローコード開発ハンドブック

本資料は「ローコード開発ハンドブック」と題して、変化に直面する企業の課題に対し、いかにローコード開発が今必要なテクノロジーであり、企業の課題をどう解決に導いていくことができるのかを紹介していきます。

無料で資料をダウンロードする

ノーコード、ローコードでの開発に必要な3つのセキュリティ対策

情報セキュリティの3要素

PaaSにおけるセキュリティの2つの特徴

セールスフォース・ジャパンが行うノーコード、ローコードの4つのセキュリティ対策

ノーコード、ローコードのプラットフォーム導入の際にチェックすべき3つのポイント

ノーコード、ローコードのセキュリティを軽視することなく、サービスを使いこなそう

ノーコード、ローコードでの開発に必要な3つのセキュリティ対策

ノーコード、ローコードのプラットフォームといったクラウドサービスを提供するすべての良心的ベンダーは、確固としたセキュリティ意識を持っています。そして、さまざまな手段を使い、ユーザーとユーザーのビジネスを守ろうとしています。しかし、サービスを利用するユーザー側のセキュリティ意識が十分でなければ、ベンダーの努力も水泡に帰してしまいます。

ですから、ノーコード、ローコードのプラットフォームで開発されたシステムやアプリにおいては、開発者による、次のような3つのセキュリティ対策を行うことが必要です。

＜ノーコード、ローコードでの開発に必要な3つのセキュリティ対策＞

ユーザー認証
アクセス制限・管理
ログ管理

ユーザー認証

IDとパスワードによる認証が代表的なユーザー認証です。ユーザーが使用するパスワードの長さや文字種を規定し複雑性を持たせます。さらに、セキュリティコードを必要とする2段階認証や、所有や生体といった複数の要素を組み合わせて認証を行う多要素認証、特定のプロバイダ経由でしかアクセスできないサードパーティ認証、特定ドメイン認証などもあります。

アクセス制限・管理

情報にアクセスできるアカウントを細かくグループ分けしておき、それぞれにアクセス制限を設定する方法でもセキュリティ対策は行われます。開発部門のIDならすべての情報を編集できるが、営業部門のIDでは営業関連の情報のみ編集可能というように、アクセスできる範囲と権限を管理します。

ログ管理

ログ管理とは、システムへのアクセスや操作の履歴を、詳細なログとして記録する機能です。不正アクセスを防ぐだけでなく、万一の際の対応やデータの復旧が早期にできるため、可用性の向上という面でも有効です。

【関連コンテンツ】

ローコードとは？メリット、注意すべきポイントの解説はこちら

情報セキュリティの3要素

一般的に、情報セキュリティにおいては、「機密性」「完全性」「可用性」が必要だとされています。まずは、これら3つの要素について解説します。

機密性

機密性とは、特定の人物以外が情報にアクセスできない状態にし、情報を管理することです。企業が扱う情報には、社内の機密情報やクライアントの固有情報などが含まれています。こうした情報を漏洩や改ざんから守るためには、機密性の高い環境の中で管理する必要があります。

完全性

完全性は、データを常に正確で最新のものに維持することを指し、医療や製造などの領域では特に重要です。
たとえば、病院での検査数値が間違っていれば治療方法を誤ることになりますし、工場の生産ラインや自動車に取りつけられた各種センサーが誤作動を起こし、誤ったデータを発信すれば、大事故にも発展しかねないことになります。

可用性

可用性とは、必要な情報をいつでも使えることを指します。これは、システムを多重化したり、非常用電源を用意したりすることで実現できます。
大規模災害が起こり、システムに損害が発生しても、バックアップですぐに復旧できる。そうした体制を用意しておけば、情報資産を守ることができます。

ローコード開発がDXを加速する
ローコード開発ハンドブック

無料で資料をダウンロードする

PaaSにおけるセキュリティの2つの特徴

ノーコードやローコード開発ができるプラットフォームは、通常ベンダーからPaaSとして提供されています。ですから、ノーコードやローコードのセキュリティを考える場合は、まずは、PaaSにおけるセキュリティについて知る必要があります。
ここでは、PaaSにおけるセキュリティの2つの特徴を見ていきましょう。

＜PaaSにおけるセキュリティの2つの特徴＞

ユーザーが対応すべき範囲が狭くて済む
オンプレミス以上の安全性が確保されている

ユーザーが対応すべき範囲が狭くて済む

PaaSとして提供されているプラットフォームをユーザーが利用する場合、ユーザーがセキュリティに対して責任を負うのは、アプリケーションやそこで利用するデータだけです。根本となるプラットフォームのセキュリティについては、ベンダー側の責任範囲になります。
つまり、PaaSを利用している限り、セキュリティにおいてはユーザーが対応する範囲はかなり狭く、それだけ運用上の負荷が軽く済みます。

オンプレミス以上の安全性が確保されている

クラウドサービスが普及する前は、多くの企業が自社内にサーバーを設置する、いわゆるオンプレミス環境を構築していました。その上、万全のセキュリティも確保しなくてはなりませんのでしたから、システム構築と運用には、非常に大きなコストが必要でした。
もちろん、常にシステム全体の監視は欠かせませんが、一企業ができることには限界があります。そのため、大小のインシデントが数多く発生していました。

しかし、PaaSの場合、ベンダー側で強固なセキュリティが組まれ、最新の情報と専門性の高い技術によって、高度な監視体制が整えられています。そのため、PaaSを利用するユーザー企業は、オンプレミス環境を大きく超える安全性を、遥かに安いコストと軽い作業負荷で、手に入れることができるのです。

【関連コンテンツ】

セールスフォース・ジャパンが行うノーコード、ローコードの4つのセキュリティ対策

ここからは、世界的なクラウドサービスベンダーであり、多くのビジネスツールを市場に提供しているセールスフォース・ジャパンのセキュリティについてご紹介します。
ノーコード、ローコードのプラットフォームを含めて、セールスフォース・ジャパンは特徴的なセキュリティ対策をとっています。

＜セールスフォース・ジャパンが行うノーコード、ローコードの4つのセキュリティ対策＞

セキュアコーディングが施されているノーコード、ローコードのコンポーネント
あらゆるレイヤーでセキュリティを確保
外部サービスとの接続部分を監視
定期的な安全性チェック

セキュアコーディングが施されているノーコード、ローコードのコンポーネント

ノーコードもローコードも、さまざまな機能を持った小さなプログラム（コンポーネント）を組み合わせることでアプリを作成する開発手法です。セールスフォース・ジャパンでは、このコンポーネントにセキュアコーディングを施しています。

外部からの攻撃を受けつけない堅固なプログラムを書くことを、セキュアコーディングといいます。「攻撃者が不正な入力で攻撃を仕掛けてきても、その内容を厳重にチェックする」「攻撃の脅威を、可能な限り想定しておく」「想定外のデータが入力された場合でも、必ず想定された動作が実行されるようにプログラムを記述する」といったことがセキュアコーディングの基本です。
現状では、市場に流通しているすべてのソフトウェアでセキュアコーディングが実施されているわけではありません。しかし、セキュアコーディングによって構築されたアプリケーションであれば、ノーコードでもローコードでも、不正に対して十分以上の堅牢性を発揮してくれるでしょう。

あらゆるレイヤーでセキュリティを確保

セールスフォース・ジャパンでは、基盤部分からアプリケーション領域に至るまで、あらゆるレイヤーでセキュリティを確保しています。
たとえば、ノーコード開発ができる「Salesforce Platform」では、まずはプラットフォーム全体に堅牢なセキュリティ対策を施しています。そうした環境の中で、セキュアコーディングによって記述されたコンポーネントを組み合わせているというわけです。
こうして構築されたソフトウェアは、高度なセキュリティを保つことができ、提供するサービス全体の高い安全性を支えています。

外部サービスとの接続部分を監視

アプリやシステムへの攻撃は、不正な入力データを送り込むことで行われます。つまり、外部サービスとの接続部分は脆弱になりやすく、攻撃を受ける可能性の高い危険領域といえるでしょう。
セールスフォース・ジャパンが提供するサービスは、この接続部分を管理し、複数のセキュリティ手法を多角的に組み合わせることで、攻撃に対する強靱な防御力を維持しています。

定期的な安全性チェック

不正アクセスを目論む攻撃者と、その防御に努めるベンダー。攻める側と守る側との戦いは、簡単に終わるものではありません。未知の攻撃手法が編み出される可能性は常にありますし、システムのアップデートなどによって、新たなセキュリティホールが生まれないとも限りません。
セールスフォース・ジャパンのサービスは、年3回程のアップデートを行っていますが、そのタイミングに合わせ、脆弱性のチェックを実施。手薄な点があれば、すぐに対策を施しています。
つまり、定期的で丁寧な点検と確実な対応が、高い安全性と信頼性の基礎となっているのです。

ローコード開発がDXを加速する
ローコード開発ハンドブック

無料で資料をダウンロードする

ノーコード、ローコードのプラットフォーム導入の際にチェックすべき3つのポイント

ノーコード、ローコードのプラットフォームに限らず、運用を開始したシステムやアプリケーションは、安易な変更がしにくいものです。使ってみて気に入らなかったから別のものにすぐ替えるというわけにはいきません。これは、サービスの機能や使い勝手だけでなく、セキュリティについてもいえることです。

クラウドサービスの導入を決め、機能やコストを検討し、いくつかの候補に絞り込む。デモ版で使い勝手を確認して製品を決め、稟議を通して導入。ところが運用開始から数か月程して、重大な脆弱性が発見され、サービスが停止されてしまった…。こんなことになれば、自社の業務が止まってしまいます。すぐに次のサービスを…というわけにもいきません。

こうした事態を避ける意味でも、事前のセキュリティチェックは十分すぎるほど入念に、しっかりと行うようにしてください。

ここからは、ノーコード、ローコードのプラットフォームを導入する際にチェックするべき、セキュリティ上の3つのポイントについて解説します。これらのポイントを基に、ベンダーの選定を行ってください。

＜ノーコード、ローコードのプラットフォーム導入の際にチェックすべき3つのポイント＞

セキュリティポリシー
データの置き場所
第三者機関の認証を取得しているか

セキュリティポリシー

セキュリティがプラットフォーム依存になるのは、クラウドサービスの特徴ともいえます。しかし、オンプレミス以上の安全性を、オンプレミスよりも遥かに安価に実現できるのですから、これはメリットといえるでしょう。
ただし、提供されるプラットフォームのセキュリティポリシーが、自社のものと合致していない場合は、そのまま利用することができません。セキュリティポリシーは容易に変えられないものですし、コンプライアンス上の大きな問題になります。この点には特に注意が必要です。

データの置き場所

「ベンダーがデータをどこに保管しているか」ということが、問題になる場合があります。たとえば、ベンダーのデータセンターが海外の特定国にあったりすると、自社のセキュリティポリシーに抵触する場合も出てきます。
セキュリティポリシーとも関連することですので、導入前に入念な確認が必要です。

第三者機関の認証を取得しているか

専門知識を持たない一般ユーザーからすれば、ベンダーが行っている具体的なセキュリティ対策を説明されても、「よくわからない」というのが正直なところかもしれません。そのような場合は、セキュリティに関して第三者機関の認証を取っているかを確認することをおすすめします。
セキュリティ認証を行う専門機関は世界に数多くあり、認証規格もレベルに応じて多種多様です。たとえば、日本政府のセキュリティ要件を満たすISMAP、アメリカ国防総省のセキュリティ要件を満たすDoD IL2など、信頼性の高い認証を取得していれば、それに見合う安全性を確保できると考えていいでしょう。

ノーコード、ローコードのセキュリティを軽視することなく、サービスを使いこなそう

PaaSで提供されることが多い、ノーコードやローコードのプラットフォームを利用した開発は、セキュリティの確保が容易だというメリットがあります。ベンダーによって差異はあるものの、オンプレミスの場合と比較すると、セキュリティ確保のハードルは低いといえるでしょう。
ですが、安心しきっていてはいけません。ハードルの低さとともに、プラットフォームの利用者が注意するべきポイントもあります。それを踏まえた上で、ノーコード、ローコードのプラットフォームを利用すれば、大きな成果を生み出してくれるはずです。