検索
特集/連載

10分の1秒高速化で使い勝手を高めるか、3秒かけてセキュアにするか――モバイルアプリ開発は悩ましい開発チームとセキュリティチームの“永遠の対立”を終わらせる

セキュリティチームの承認待ちにより、モバイル業務アプリケーションのリリースが遅れてしまうことは多々ある。セキュリティとユーザビリティを考慮しつつ、リリースを早める方法を紹介する。

Share
Tweet
LINE
Hatena

ガートナー「日本における情報セキュリティのハイプ・サイクル:2014年」(TechTargetジャパン記事「2015年に注目すべきセキュリティ製品は? ガートナーが予測」から)《クリックで拡大》

 モバイル業務アプリケーションのリリースに、セキュリティチームの承認よりも大きな障害はない。もちろん、セキュリティチームのスタッフは故意にプロセスを遅らせようとしているわけではないし、好き好んで悪役を買って出ているわけでもない。彼らにはアプリケーションのセキュリティ軽視を是正する責任があり、それはアプリケーション開発プロセスの一部となっているのだ。

 一般的に、開発チームがセキュリティチームにアプリケーションのことを知らせるのは、リリースに向けて開発が順調に進展しているときだけだ。しかし開発チームは、セキュリティチームともっと早い段階で連携を組む必要がある。開発のもっと早い段階からセキュリティを考慮することで、ユーザビリティとセキュリティの間で繰り広げられるシーソーゲームをよりスムーズに進めることができる。

 ユーザーは、仕事をこなせる使い勝手のよいアプリケーションを求めている。米Googleのユーザビリティ調査によると、アプリケーションのパフォーマンスが10分の1秒低下しただけで、ユーザーエクスペリエンスにネガティブな影響を与えるという。

 一方、セキュリティチームは、会社の資産を守ることが第1の使命だ。データの安全性を維持するために、もう数秒必要というのであれば、彼らにとってその程度のことは何でもない。セキュリティチームはユーザビリティについて心配しない。むしろ顧客のクレジットカード情報が安全か、会社のデータが漏えいしていないかが重要なのだ。

設計者のように考える

 現実的には、セキュリティとユーザビリティのバランスを取るのではなく、アプリケーションのセキュリティ対策に干渉しない使い勝手のよい開発プロセスを設計することが大事になる。

 安全なユーザビリティを実現する最良の方法は、セキュリティが本当はITの問題ではなく、ビジネスの問題であるという点を理解することだ。安全でなければ、ビジネスは成功しない。セキュリティチームはリスクを理解し、そうしたリスクを最小化する最適な方法を考える。それを成功させるためには、セキュリティチームもアプリケーション開発チームのように設計マインドを持つ必要がある。アプリケーションを設計、構築する開発チームとして、現場に飛び込むことが大切だ。

 セキュリティチームが設計/開発チームに組み込まれたとき、「開発チーム対セキュリティチーム」という考えはすぐに消える。開発チームは安全なフレームワークを用いてアプリケーションコードを書く方法を学び、セキュリティチームはα段階の前からアプリケーションの安全性をテストすることが可能になる。

 開発チームはアプリケーションを作るたびに、企業ネットワークへの安全な接続方法を考えるといった無駄を改めるべきだ。セキュリティチームが開発段階から関与すれば、他のアプリケーションで利用してきた安全な接続、VPN、あるいはその他の接続方法の確立に力を貸してくれる。同じように、セキュリティチームはIDおよびアクセス管理チームと連携し、ユーザーがアプリケーションにログインするときの安全な仕組みを設計するべきだ。それもまた開発チームが再利用できる要素になる。

 優れたユーザーエクスペリエンスを提供するためには、開発チームとセキュリティチームのニーズにも同様に照準を合わせなければならない。ユーザーは使い勝手がよく、かつ潜在的な危険から自分の身を守ってくれる安全なアプリケーションとユーザーエクスペリエンスを求めている。

Copyright © ITmedia, Inc. All Rights Reserved.

ページトップに戻る