気になる「ローコード／ノーコード開発のセキュリティ」 NRIセキュアがガイドライン策定サービスを提供開始：「安全な市民開発環境の構築を支援する」

NRIセキュアは「市民開発セキュリティガイドライン策定支援サービス」の提供を開始した。市民開発の際に考慮すべきセキュリティ要件を整備し、安全な市民開発環境の構築を支援する。

[＠IT]

　NRIセキュアテクノロジーズは2024年6月24日、「市民開発セキュリティガイドライン策定支援サービス」の提供を開始すると発表した。同サービスは、「市民開発」の際に考慮すべきセキュリティ要件を整備し、安全な市民開発環境の構築を支援するもの。

ガイドラインの有用性（提供：NRIセキュア）

　なお、ここで言う市民開発とは「非IT部門がローコード／ノーコード開発ツールを用いてシステムやアプリケーションを開発すること」を指す。

企業のシステム特性や固有の運用方法を考慮したガイドラインを策定

　IT人材不足や市民開発ツールの普及を背景に、企業での市民開発が活発になっている。比較的簡単にアプリケーションが開発できる半面、市民開発で作られたアプリケーションが乱立した結果、脆弱（ぜいじゃく）なアプリケーションが意図せず企業内に広がってしまう危険性もある。アプリケーションの外部公開設定や外部システムとの連携方法に不備があった場合には、不正アクセスや情報漏えいなどの被害につながる恐れもある。同サービスはそうした懸念を払拭（ふっしょく）するためのサービスだ。

　市民開発セキュリティガイドライン策定支援サービスは、市民開発時に従業員が守るべきセキュリティ基準を設定し、ガイドラインとして整備する。その際、企業のシステム特性や固有の運用方法を考慮し、過度な対策を盛り込むのではなく実際の運用に生かせるよう考慮するとしている。

　NRIセキュアは「安全な市民開発環境を実現するには、システム管理者に全任するのではなく、企画、設計の段階から事業部門でもセキュリティ対策を考慮する必要がある」と指摘。そのため、同サービスでガイドライン策定する際には、セキュリティ対策項目の担当者を管理者側（IT部門、セキュリティ部門など）と利用者側（事業部門など）に分けることで、役割ごとに実施すべき対策項目を明確化し、対策の抜け穴ができないようにしている。

　また、対象とする市民開発ツールが複数ある場合には、それらのセキュリティ関連機能を横断的に調査した上で、特定のツールに依存しない汎用（はんよう）的に利用可能なガイドラインを策定するという。