ローコード開発のセキュリティ対策方法や対策事例、注意点を解説

ノーコードやローコードは、専門的なコーディングの知識が少なくてもシステムやアプリを開発できる手法です。一方で、開発の手軽さだけに注目すると、セキュリティ対策が不十分になるおそれがあります。

安全に活用するには、利用者本人を正しく確認する「ユーザー認証」、情報にアクセスできる範囲を適切に分ける「アクセス制限・管理」、操作履歴を記録して異常を検知しやすくする「ログ管理」が重要です。

ここでは、ノーコード、ローコードにおけるセキュリティの考え方と、開発時に押さえておきたい対策について解説します。

目次

ノーコード、ローコードでの開発に必要な3つのセキュリティ対策

情報セキュリティの3要素

PaaSにおけるセキュリティの2つの特徴

Salesforceの4つのセキュリティ対策

ノーコード、ローコードのプラットフォーム導入の際にチェックすべき3つのポイント

ノーコード、ローコードのセキュリティを軽視することなく、サービスを使いこなそう

ノーコード、ローコードのプラットフォームを提供するベンダーは、さまざまな方法でセキュリティ対策を行い、ユーザーとビジネスを守っています。ただし、サービスを利用するユーザー側のセキュリティ意識が十分でなければ、ベンダーの対策だけではリスクを防ぎきれません。

そのため、ノーコード、ローコードのプラットフォームで開発されたシステムやアプリでは、開発者自身も適切なセキュリティ対策を行うことが重要です。主な対策は、ユーザー認証、アクセス制限・管理、ログ管理の3つです。

IDとパスワードによる認証が代表的なユーザー認証です。ユーザーが使用するパスワードの長さや文字種を規定し複雑性を持たせます。さらに、セキュリティコードを必要とする2段階認証や、所有や生体といった複数の要素を組み合わせて認証を行う多要素認証、特定のプロバイダ経由でしかアクセスできないサードパーティ認証、特定ドメイン認証などもあります。

情報にアクセスできるアカウントを細かくグループ分けしておき、それぞれにアクセス制限を設定する方法でもセキュリティ対策は行われます。開発部門のIDならすべての情報を編集できるが、営業部門のIDでは営業関連の情報のみ編集可能というように、アクセスできる範囲と権限を管理します。

ログ管理とは、システムへのアクセスや操作の履歴を、詳細なログとして記録する機能です。不正アクセスを防ぐだけでなく、万一の際の対応やデータの復旧が早期にできるため、可用性の向上という面でも有効です。

【関連コンテンツ】

• ローコード開発とは？ノーコードとの違いや将来性、成功事例を紹介

情報セキュリティでは、情報を安全かつ正しく利用できる状態を保つために、「機密性」「完全性」「可用性」の3つが重要です。それぞれの概要は、以下のとおりです。

機密性とは、特定の人物以外が情報にアクセスできない状態にし、情報を管理することです。企業が扱う情報には、社内の機密情報やクライアントの固有情報などが含まれています。こうした情報を漏洩や改ざんから守るためには、機密性の高い環境の中で管理する必要があります。

完全性は、データを常に正確で最新のものに維持することを指し、医療や製造などの領域では特に重要です。
たとえば、病院での検査数値が間違っていれば治療方法を誤ることになりますし、工場の生産ラインや自動車に取りつけられた各種センサーが誤作動を起こし、誤ったデータを発信すれば、大事故にも発展しかねないことになります。

可用性とは、必要な情報をいつでも使えることを指します。これは、システムを多重化したり、非常用電源を用意したりすることで実現できます。
大規模災害が起こり、システムに損害が発生しても、バックアップですぐに復旧できる。そうした体制を用意しておけば、情報資産を守ることができます。

ノーコードやローコード開発ができるプラットフォームは、通常ベンダーからPaaSとして提供されています。ですから、ノーコードやローコードのセキュリティを考える場合は、まずは、PaaSにおけるセキュリティについて知る必要があります。 ここでは、PaaSにおけるセキュリティの2つの特徴を見ていきましょう。

＜PaaSにおけるセキュリティの2つの特徴＞

• ユーザーが対応すべき範囲が狭くて済む
• オンプレミス以上の安全性が確保されている

PaaSとして提供されているプラットフォームをユーザーが利用する場合、ユーザーがセキュリティに対して責任を負うのは、アプリケーションやそこで利用するデータだけです。根本となるプラットフォームのセキュリティについては、ベンダー側の責任範囲になります。
つまり、PaaSを利用している限り、セキュリティにおいてはユーザーが対応する範囲はかなり狭く、それだけ運用上の負荷が軽く済みます。

クラウドサービスが普及する前は、多くの企業が自社内にサーバーを設置する、いわゆるオンプレミス環境を構築していました。その上、万全のセキュリティも確保しなくてはなりませんのでしたから、システム構築と運用には、非常に大きなコストが必要でした。
もちろん、常にシステム全体の監視は欠かせませんが、一企業ができることには限界があります。そのため、大小のインシデントが数多く発生していました。

しかし、PaaSの場合、ベンダー側で強固なセキュリティが組まれ、最新の情報と専門性の高い技術によって、高度な監視体制が整えられています。そのため、PaaSを利用するユーザー企業は、オンプレミス環境を大きく超える安全性を、遥かに安いコストと軽い作業負荷で、手に入れることができるのです。

【関連コンテンツ】

• SaaSとは？メリット・デメリットと代表例をわかりやすく解説
• PaaSとは？IaaSやSaaSとの違い、クラウドサービスの選び方について紹介
• SaaSを活用するメリットと成功事例を紹介

セールスフォース・ジャパンでは、ノーコード、ローコードのプラットフォームを安心して利用できるよう、システム全体の安全性を高める複数のセキュリティ対策を行っています。

ここからは、世界的なクラウドサービスベンダーであり、多くのビジネスツールを市場に提供しているセールスフォース・ジャパンのセキュリティ対策についてご紹介します。

＜セールスフォース・ジャパンが行うノーコード、ローコードの4つのセキュリティ対策＞

• セキュアコーディングが施されているノーコード、ローコードのコンポーネント
• あらゆるレイヤーでセキュリティを確保
• 外部サービスとの接続部分を監視
• 定期的な安全性チェック

ノーコードもローコードも、さまざまな機能を持った小さなプログラム（コンポーネント）を組み合わせることでアプリを作成する開発手法です。セールスフォース・ジャパンでは、このコンポーネントにセキュアコーディングを施しています。

外部からの攻撃を受けつけない堅固なプログラムを書くことを、セキュアコーディングといいます。「攻撃者が不正な入力で攻撃を仕掛けてきても、その内容を厳重にチェックする」「攻撃の脅威を、可能な限り想定しておく」「想定外のデータが入力された場合でも、必ず想定された動作が実行されるようにプログラムを記述する」といったことがセキュアコーディングの基本です。
現状では、市場に流通しているすべてのソフトウェアでセキュアコーディングが実施されているわけではありません。しかし、セキュアコーディングによって構築されたアプリケーションであれば、ノーコードでもローコードでも、不正に対して十分以上の堅牢性を発揮してくれるでしょう。

セールスフォース・ジャパンでは、基盤部分からアプリケーション領域に至るまで、あらゆるレイヤーでセキュリティを確保しています。
たとえば、ノーコード開発ができる「Salesforce Platform」では、まずはプラットフォーム全体に堅牢なセキュリティ対策を施しています。そうした環境の中で、セキュアコーディングによって記述されたコンポーネントを組み合わせているというわけです。
こうして構築されたソフトウェアは、高度なセキュリティを保つことができ、提供するサービス全体の高い安全性を支えています。

アプリやシステムへの攻撃は、不正な入力データを送り込むことで行われます。つまり、外部サービスとの接続部分は脆弱になりやすく、攻撃を受ける可能性の高い危険領域といえるでしょう。
セールスフォース・ジャパンが提供するサービスは、この接続部分を管理し、複数のセキュリティ手法を多角的に組み合わせることで、攻撃に対する強靱な防御力を維持しています。

不正アクセスを目論む攻撃者と、その防御に努めるベンダー。攻める側と守る側との戦いは、簡単に終わるものではありません。未知の攻撃手法が編み出される可能性は常にありますし、システムのアップデートなどによって、新たなセキュリティホールが生まれないとも限りません。
セールスフォース・ジャパンのサービスは、年3回程のアップデートを行っていますが、そのタイミングに合わせ、脆弱性のチェックを実施。手薄な点があれば、すぐに対策を施しています。
つまり、定期的で丁寧な点検と確実な対応が、高い安全性と信頼性の基礎となっているのです。

ノーコード、ローコードのプラットフォームに限らず、運用を開始したシステムやアプリケーションは、安易な変更がしにくいものです。使ってみて気に入らなかったから別のものにすぐ替えるというわけにはいきません。これは、サービスの機能や使い勝手だけでなく、セキュリティについてもいえることです。

クラウドサービスの導入を決め、機能やコストを検討し、いくつかの候補に絞り込む。デモ版で使い勝手を確認して製品を決め、稟議を通して導入。ところが運用開始から数か月程して、重大な脆弱性が発見され、サービスが停止されてしまった…。こんなことになれば、自社の業務が止まってしまいます。すぐに次のサービスを…というわけにもいきません。

こうした事態を避ける意味でも、事前のセキュリティチェックは十分すぎるほど入念に、しっかりと行うようにしてください。

ここからは、ノーコード、ローコードのプラットフォームを導入する際にチェックするべき、セキュリティ上の3つのポイントについて解説します。これらのポイントを基に、ベンダーの選定を行ってください。

＜ノーコード、ローコードのプラットフォーム導入の際にチェックすべき3つのポイント＞

• セキュリティポリシー
• データの置き場所
• 第三者機関の認証を取得しているか

セキュリティがプラットフォーム依存になるのは、クラウドサービスの特徴ともいえます。しかし、オンプレミス以上の安全性を、オンプレミスよりも遥かに安価に実現できるのですから、これはメリットといえるでしょう。
ただし、提供されるプラットフォームのセキュリティポリシーが、自社のものと合致していない場合は、そのまま利用することができません。セキュリティポリシーは容易に変えられないものですし、コンプライアンス上の大きな問題になります。この点には特に注意が必要です。

「ベンダーがデータをどこに保管しているか」ということが、問題になる場合があります。たとえば、ベンダーのデータセンターが海外の特定国にあったりすると、自社のセキュリティポリシーに抵触する場合も出てきます。
セキュリティポリシーとも関連することですので、導入前に入念な確認が必要です。

専門知識を持たない一般ユーザーからすれば、ベンダーが行っている具体的なセキュリティ対策を説明されても、「よくわからない」というのが正直なところかもしれません。そのような場合は、セキュリティに関して第三者機関の認証を取っているかを確認することをおすすめします。
セキュリティ認証を行う専門機関は世界に数多くあり、認証規格もレベルに応じて多種多様です。たとえば、日本政府のセキュリティ要件を満たすISMAP、アメリカ国防総省のセキュリティ要件を満たすDoD IL2など、信頼性の高い認証を取得していれば、それに見合う安全性を確保できると考えていいでしょう。

PaaSで提供されることが多い、ノーコードやローコードのプラットフォームを利用した開発は、セキュリティの確保が容易だというメリットがあります。ベンダーによって差異はあるものの、オンプレミスの場合と比較すると、セキュリティ確保のハードルは低いといえるでしょう。
ですが、安心しきっていてはいけません。ハードルの低さとともに、プラットフォームの利用者が注意するべきポイントもあります。それを踏まえた上で、ノーコード、ローコードのプラットフォームを利用すれば、大きな成果を生み出してくれるはずです。