そのノーコード活用、ちょっと待った! 本当に安全な使い方? 「ウチも効率化」の前に知っておくべきこと
非ITエンジニアでもアプリを作れるノーコード開発ツール。導入の上で重要なセキュリティ対策の注意点を、専門家の2人に聞いた。重要なのは、経営層などが導入の初期段階から関与することだという。
非ITエンジニアでもアプリケーションを作成し、業務を効率化できるノーコード・ローコード開発ツール(以下、まとめてノーコード)。エンジニア不足といわれる中で、現場のニーズを現場担当者が改善していくのに役立つソリューションだ。
しかしノーコードにも、活用に当たっては注意点がある。情報を守るセキュリティ対策だ。例えばニューヨーク市交通局などが米Microsoftのノーコードツール「Power Appsポータル」で開発したアプリから、約3800万件の情報漏えいがあったと、セキュリティ企業の米UpGuardが2021年8月に発表している。原因はツールの仕様で、初期設定のままだと誰でもデータにアクセスできる仕組みだったという。
「ノーコードツールはユーザー側でコードを書く必要がなく、ツール側がある程度の安全性を担保してくれるので、低レベルな脆弱性が発生するリスクは下がる。一方で“シャドーIT”や設定ミス、それらに起因するトラブルにつながりやすいリスクもある」
こう指摘するのは、ノーコードのユーザーコミュニティーを運営する一般社団法人NoCoders Japan協会の西谷大輔理事。リスクを避けつつ、より安全にノーコードを活用するには、どのような点に気を付けるべきか。西谷理事と同協会の高橋翔代表理事によれば、重要なのは、経営層などが導入の初期段階から関与することだという。
特集:DXでリスク増大 経営層が知っておきたい情報セキュリティの課題と対策
デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。
ノーコードの柔軟性がかえって仇に
ノーコードは「誰でもアプリケーションを作成できる」からこそ、いわゆる“シャドーIT”につながりやすい側面がある。
ノーコードツールはSaaS型での提供が多く、一般的なSaaSよりも設定できる項目や機能が多い傾向にある。それゆえに、一般的なSaaSではユーザー側で調整できないような設定まで操作できるツールもあり、IT部門や管理部門などが把握していない機能を現場が使ってしまう可能性があるという。
「一般的なSaaSでは、管理しているデータをいきなり外部に公開できず、ワンクッション置いた作りになっていることが多い。一方で、ノーコードはある程度の柔軟性がある分、すぐに公開できてしまう場合もある」(西谷理事)
現場のリテラシーにも注意
ノーコードを使うのは基本的にIT部門ではなく、事業部門や現場の人員であることも、セキュリティリスクになりやすい要因だ。
「事業部門や現場の人はIT部門などに比べ、普段あまりセキュリティを意識していない人かもしれない。リスクを回避するには、そういう人にも自社のセキュリティポリシーなどを周知する必要がある。この辺りは通常のSaaSと同様かもしれない」(高橋理事)
「現場に任せたい」と「安全性」のバランスが重要に?
2人によれば、一連のリスクを避け、より安全にノーコードを活用するには、導入段階から経営層が関与し、運用や現場での使い方を事前に決めておくべきという。
例えば個人情報や決済情報を扱う場合と、工場における製品の生産数を扱う場合で、情報漏えいしたときのリスクの大きさは変わってくる。
どちらの方がリスクが大きいかは会社によって異なるので、情報の重要性を把握しているCIO(最高情報責任者)やCISO(Chief Information Security Officer、最高情報セキュリティ責任者)が導入初期から関与し、どんな業務で活用するか、導入後はどんな運用にするかを決めておく必要がある。
場合によってはベンダーが提供する、安全性のチェック機能などを導入するなど、追加でコストを掛けることも検討すべきという。
「コストを掛けず、アジャイル形式でなるべく現場に任せたい、というコンセプトでノーコードを導入することも多い。しかし、そうするとアプリの開発や運用における安全性のチェック体制などが本当に適切か、見逃しがちになる。経営陣にとってはジレンマだが、ここのバランスを考えることが重要」(高橋理事)
活用に当たってはいくつもの注意点があるノーコード。一方で西谷理事は、セキュリティ対策が手間だからと活用をためらうべきではないと話す。
「基本的にセキュリティ対策から解放されることはない。ただ『シャドーITのリスクがあるからダメ』ではなく『便利にするにはどうしよう』の方が建設的。経営層はこういったことも考える必要があるのでは」(西谷理事)
関連記事
- 「ウチもペーパーレス化」の前に知りたいセキュリティの注意点 “現場にお任せ”がリスクにつながるワケ
電帳法の改正やSDGsの文脈でペーパーレス化が活発になっている。情報の保存方法を電子データに切り替えるに当たって企業が注意すべき点を、情報セキュリティ大学院大学の藤本正代教授に聞いた。 - 「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え
情報漏えいだけでなく、業務停止などの経営リスクにもつながるサイバー攻撃。もはやセキュリティ対策は、IT部門だけでなく経営者自身も取り組むべき課題になっている。経営者はどんな姿勢で自社のセキュリティ対策と向き合うべきか、専門家に聞く。 - DXにノーコードは役立つのか? 正しい使い方の理想と現実
東京都の大規模なデジタル人材育成計画の中には、DXに向けたノーコード・ローコードツールの活用研修もある。DXを進める上でノーコードはどう使うと役立つのか、専門家の2人に聞いた。 - 小学校教員と保護者が業務効率化アプリを自力で開発 仕事の困り事は自分で解決
長野県に、教員や保護者が学校に必要なシステムを自分で作る小学校がある。自力でローコード開発したアプリを運用して情報共有の効率化を図る。校長は「教師たちが仕事時間の大半を子供たちと向き合う時間に回せるようになった」と話す。 - 創業2年半でユーザー数3000人超 ノーコード×AI開発の「MatrixFlow」が考える“真のAI民主化”とは
2018年の設立から現在までで3000人超のユーザー数を抱える他、インテリアのEC事業「LOWYA」などを手掛けるベガコーポレーションから1億円の資金調達を受けるなどの成長を見せているMatrixFlow社の田本社長に、ノーコード×AIの未来を聞きました。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.