セキュア・バイ・デザインともいいます。システムやソフトウェアの企画・設計、開発の段階からセキュリティ対策を組み込む考え方のことです。
ソフトウエアは、要件定義→外部設計→内部設計→プログラミング→テスト→本番稼働のライフサイクルのライフサイクルで開発されます。要件定義の段階で抜けがあり、それに気づかずに作業を進め、後工程になって発覚したとすれば、大きな手戻りが発生します。プログラムを作成して本番稼働に移行する段階になって重要な要件が見つかったような場合は、大がかりな作り直しになるかもしれません(参照:ウォータフォール型開発技法)。
それと同様に、セキュリティへの配慮がなされずに作られたシステムやソフトウェアを、後になってから対策を講じようとしても、費用が膨大になり、十分な対策が不可能なこともあります。企画・設計段階から、セキュリティの観点から慎重なリスクアセスメントを行うことにより、結果として、短時間で、低コストで、保守に優れたシステムやソフトウェアになるのです。
特に、IoTなど組込みシステムの分野では、リスクが大きな事故につながりやすいこと、リコールなど対策コストが非常に大きくなることなどのために、セキュリティ・バイ・デザインの考え方で設計、構築、運用することが重要です。NICS(内閣府サイバーセキュリティセンター)ではIoTなど「安全なIoTシステムのためのセキュリティに関する一般的枠組」を策定し、セキュリティ・バイ・デザインの重要性を強調しています。
・