TOPアプリ/OS > ローコード/ノーコード開発のセキュリティー、4つの懸念(前)...

アプリ/OS

ローコード/ノーコード開発のセキュリティー、4つの懸念(前)

2022/03/08

Chris Hughes CSO

 近年は、いわゆる市民開発者(シチズンデベロッパー)を巡る動きが加速し、プログラマー以外によるアプリケーション開発へのニーズが見られる。これを実現するツールの代表格が、ローコード/ノーコード開発プラットフォームだ。ビジネスロジックや画面の構成要素を、GUIのドラッグ&ドロップ操作で配置する形で、誰もがアプリケーションを開発できる。IT部門や業務部門の幅広い従業員がアプリケーションを開発し、ビジネスに価値をもたらすことができるというのは、もちろん魅力的な話だ。だが一方で、ローコード/ノーコード開発プラットフォームの利用に伴うセキュリティー上の懸念もある。他のソフトウエアと同様、プラットフォーム自体やコードが厳格に作られているのかどうか、きちんと目を向けなくてはならない。

ローコード/ノーコード開発とは

Credit: SPainter VFX / Getty Images
Credit: SPainter VFX / Getty Images

 ノーコード開発では、例えばビジネスアナリストなど、本職のプログラマーではない人でも、GUIのドラッグ&ドロップ操作のみで、アプリケーションの開発やカスタマイズに従事できる。またローコード開発では、GUIでの操作に加え、必要に応じてコーディングも行う。例えば、他のアプリケーションとの連携、レポートの作成、ユーザーインタフェースの修正などに関して、出来合いの部品にない処理や機能を追加できる。こうした拡張では、SQLやPythonなどの言語を使う。

 ローコード/ノーコード開発の主なプラットフォームには、Salesforce Lightning、FileMaker、Microsoft PowerApps、Google App Makerなどがある。

 ここからは、ローコード/ノーコード開発プラットフォームの利用に伴うセキュリティー上の懸念について、4つの重要なポイントを見ていく。

1. 開発したアプリケーションの処理の中身が見えない

 サードパーティーが開発したプラットフォームの利用には、処理の中身が見えないという懸念が付いて回る。ソフトウエアを利用する立場では、どのようなソースコードで動いているかや、その中に潜む脆弱性は分からない。また、プラットフォームの開発元がどの程度の厳格さで開発やテストを行ったのかも、必ずしもつかめない。

 こうした懸念を緩和する策の1つとして、プラットフォームの開発元にソフトウエア部品表(SBOM)を提供してもらうという手がある。SBOMがあれば、プラットフォームを構成しているコンポーネントや、それに伴う脆弱性を把握できる。現在、SBOMの利用は増えつつある。Linux Foundationが今年1月に発表した調査結果によると、2022年にSBOMを利用する予定の企業や組織は78%に上る。ただし、SBOMの利用はまだ発展途上の段階にある。手法、プロセス、ツールの標準化に向けて、業界としての取り組みの余地は大きい。

↑ページ先頭へ