叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

PowerAppsを使ったアプリ開発の楽しさと、情報セキュリティ対策の難しさ

最近はローコードの開発ツールと言われる MicrosoftのPowerAppsを使ったアプリの開発を楽しんでます。

ローコードとは、プログラミングやコーディングの知識があまりなくても、比較的簡単にソフトウェアやアプリケーションを開発できるように設計された開発手法やプラットフォームのことです。ローコード開発プラットフォームでは、グラフィカルなユーザーインターフェースやドラッグ&ドロップの操作で、ある程度はコーディングを行わずにアプリケーションを構築できるようになっています。

最近は、kintone(キントーン)のCMで、業務アプリがつくれるサイボウズのノーコードツールとして紹介されていますが、ノーコードに比べるとローコードはプログラミングの知識はある程度、必要です。

PowerAppsの場合、画面のレイアウトは PowerPoint でのデザインがの如く、GUIで操作できますが、肝心の SharepointLISTS などのデータベースからのデータ抽出条件や更新は、コーディングを伴います。その分、ローコードは、利用者がより複雑なアプリケーションを作成したりカスタマイズを行える可能性があります。

通常はPowerAppsを単体で使うことはなく、Microsoftが提供する O365などの一連の製品群から組み合わせて、システムを構築します。ここは、業務系のソフトウエアを数多くリリースしているMicrosoftならでの強みだと思います。

下図は、企業が消費者に対して、商品のモニターを依頼し、その使用感を消費者が回答する仕組みをMicrosoftの製品を使って構築することを想定しました。

PowerApps 活用例

消費者はモニタリングの結果をForms(アンケート作成ツール)の画面を通じて、対象となる商品と、その使用感を回答します。Formsへの回答をトリガーとしてPowerAutomate(自動化ツール)は、Formsから回答データを取得し、その後に続く一連のフローを制御します。回答をしてくれた消費者に対しては、Outlook(電子メール)からお礼のメールを自動送付します。そして、選択された商品の開発チームに対して、モニタリングの結果をTeams(グループウエア)で共有し、今後の商品の改善に役立てます。回答データはSharepointLIST(データ保管ツール)に蓄積され、PowerApps(ローコードアプリケーション開発ツール)で構築したアプリケーションを通じて、マーケティング部門が参照し、販売促進の戦略を登録します。

また、回答内容のデータ形式や障害など、なんらかの理由でPowerAutomateのフローが上手く制御できなかった場合に備え、OneDrive(オンラインストレージ)環境に配置されたExcel(表計算ソフト)は、Formsの回答データをバックアップしておくことで、回答に対する対応漏れを防ぐ役割を果たします。

このシステムをゼロベースで開発しようとすると、かなりの工数が必要で、プログラミングに長けたエンジニアも必要です。

しかし、PowerApps をはじめとする一連のMicrosoftの製品群を活用することで、余分な工数省略しながら、熟練したプログラマーが不在でも、やりたいことを実現できるプラットフォームが整いつつある印象を持ってます。

システム構築の難易度が下がるのに対して気になるのは、情報セキュリティに対する脅威です。

システムは社会に有益なものばかりではありません。問題あるシステムも多数あります。たとえば、モニターを依頼する組織が、正規の企業のように装い、被害者をだまそうとするかもしれません。消費者へのアンケートを利用して、個人情報を要求する仕組みがあっても不思議ではありません。そこに、巧妙に銀行口座情報や、パスワードなどの機密情報を搾取する文言があれば「フィッシング詐欺」の可能性が高くなります。

そもそも、フィッシング詐欺は非常に巧妙な仕掛けられています。警戒心を持っていても、騙される被害者は多くいます。

ローコード開発ツールの普及で、システム構築が容易になることは、偽のシステムもたくさん生み出すことになります。

もちろん、IT企業も問題を放置するわけではありません。

問題あるシステムがネット空間に入り乱れることは、社会がITに対する信頼を低下させることになります。IT企業の社会的責任として、情報セキュリティの被害を下げる取り組みが必要です。

たとえば、Microsoft Formsは、回答者がパスワードなどの機密情報を送付することを辞めさせるため、Formsへの質問を登録している段階で、その内容をAIが読み取り、そこに機密情報を搾取する可能性があると判断した場合ーー

「個人情報を要求しているため、このフォームは配信できません」

というようなエラーを表示します。

そうすると、Forms によるアンケートそのものが策定出来なくなります。これはなかなか先進的な対策に見えます。

セキュリティ問題の自動検知によるエラー

ただ、これは AI が危険性を検知しているだけです。エラーが表示されたからといって、必ずしも問題ある質問とは限りません。

実際、現段階では、誤検知が多いと感じてます。このエラーが出たら、質問の仕方を変えるなどして、エラーが表示されなくなるような工夫をしなければならなくなります。余計な仕事を増やした挙句、相手に伝わりにくいアンケートになってしまう可能性もあります。

情報セキュリティ対策では、本来は許可してはいけないものを許可してしまう、フォールスネガティブといい、許可していいものを落としてしまうことをフォールスポジティブといいます。

ネガティブでもポジティブでも、結局のところは、使いにくい仕組みになってしまいます。

丁度いい、塩梅の情報セキュリティ対策はかなり難しいものです。