セキュリティ・バイ・デザイン (Security by Design )は内閣サイバーセキュリティセンター(NISC)により「情報セキュリティを企画・設計段階から確保するための方策」として定義されている、製品の企画・設計のフェーズからセキュリティ対策を組み込んでおくこと、サイバーセキュリティ対策を確保しておく考え方である。
「情報システムに係る政府調達におけるセキュリティ要件策定マニュアル(SBDマニュアル)」において、仕様書記載例、及び対策の提案例が記載されている。また、令和4年7月の改訂では、「政府機関等のサイバーセキュリティ対策のための統一基準」の改定(令和3年7月)及び「デジタル・ガバメント推進標準ガイドライン」の改定(令和4年4月)に伴う、本マニュアルについて所要の見直し、及び政府においても利用が拡大しているクラウドサービスの「設計・開発フェーズ」で活用できる、クラウドサービスの基本的なセキュリティ対策の設定項目等を示した別冊「クラウド設計・開発編」の策定が行われた。
改訂の背景として、調達仕様におけるセキュリティ要件の曖昧さや過不足の発生を防ぐこと、及び政府においても利用が拡大しているクラウドサービスの特徴に着目したセキュリティ観点の注意事項を整理し、クラウドサービスにおいて設定すべき基本的なセキュリティ対策の項目や実装の指針を示すことで、クラウド活用の企画・設計段階からのセキュリティを確保することを目的としている。
製造側、供給者側ともに、開発の早い段階からセキュリティ対策を考慮し、実装することでセキュリティ対策に必要なトータルコストを削減できる、共通的な仕様に基づいた保守性の高いソフトウェア・機器が提供できる等の効果がある。
特にセキュリティ・バイ・デザインの方針に従い、標準化されたセキュリティ対策を実施し、組織的で継続的なセキュリティリスク管理を実施することにより、システムごとの独自方針に基づいて実施されていたセキュリティ対策のばらつきや不十分なリスク管理が解消され、システム全体のセキュリティレベル向上につなげることができる。
