デジタルトランスフォーメーションがすべての业界セクターに広がり、今やあらゆる公司がソフトウェアビジネスに携わっています。顾客と直接取引する営业でも、业务の运用でも、市场での竞争力の维持に必要なスピードと俊敏性を実现しながらソフトウェアの信頼性を高めることで、収益力を确保する必要があります。
しかし、ソフトウェア开発ライフサイクル(厂顿尝颁)にセキュリティを组み込むことに関しては多くの组织が立ち遅れています。多くの开発チームは依然としてセキュリティをボトルネック、つまり完成したはずのコードの手直しを强いられる问题と捉える倾向があり、その认识が便利な最新机能の市场への投入を阻害しています。
しかし、セキュリティが不十分なソフトウェアは、公司をますます大きなリスクにさらします。製品がハッカーによる悪用に対して无防备であれば、便利な最新机能があってもお客様やお客様の顾客は保护されません。高品质、高セキュリティ製品の市场への投入を阻止するのではなく実现できるようなセキュアなソフトウェアプロセスを开発して、セキュリティを组み込む必要があります。
安全な事业运営のための厂顿尝颁のセキュリティ
データ侵害やサプライチェーン攻撃に関する絶え间ない报告は、侵害されたソフトウェアが事业に壊灭的な影响を与える可能性があることを示しています。ソフトウェアリスクがビジネス?リスクに直结するようになっている昨今では、リスクに优先顺位を付けて予防的に管理する必要があります。リスクを管理し、组织のデジタルトランスフォーメーション(顿齿)の取り组みから摩擦を取り除くためには、アプリケーション?セキュリティ?プログラムに「シフトエブリウェア(工程のあらゆるタイミングへのシフト)」が求められます。そのためには、开発工程の终盘になってからセキュリティ対策に取り组むのではなく、セキュリティを一连のプロセスやツールに移行し、アプリケーション开発プロセスの全段阶に组み込む必要があります。开発ツールチェーンとワークフローにシームレスに连携するツールやソリューションを使用すれば、セキュリティプログラムは最大限の効果を発挥します。
厂顿尝颁とは、组织がアプリケーションを开発するために用いる、方向付けから廃止までのプロセスを定义する确立されたフレームワークです。长年にわたり、ウォーターフォール型や反復型から、最近のアジャイルおよびCI/CDまで、多くの厂顿尝颁モデルが登场し、モデルが新しくなるたびにデプロイメントの速度と频度が増す倾向がありました。
通常、厂顿尝颁には次のフェーズがあります。
- 计画と要件定义
- アーキテクチャと设计
- テスト计画
- コーディング
- テストと结果
- リリースと保守
初期のSDLCシステムでは、テスト段階になってからセキュリティ関連のアクティビティを実行していたため 作業時間が制約され、安全でないコードが外部に出回ることが頻繁にありました。そこで、セキュリティ?アクティビティを開発に連携させるために「シフトレフト」プロセスが導入されるようになりましたが、その後、SDLCの概念はさらに進化し、「シフトレフト」からセキュリティ上の課題を開発の全段階に組み込む「シフトエブリウェア」の考え方へと発展していきました。
厂顿尝颁の后工程でバグが発见されると、修正コストが高くつきます。开発ライフサイクルの后工程でバグが発见された场合、开発者は自分が行っている作业を中断し、何週间も前に作成した可能性があるコードを见直す必要があります。さらに、バグが运用环境まで持ち込まれてから见つかると、コードはSDLCの最初に手戻りすることになります。この时点でドミノ効果が始まり、1つのバグ修正が连锁的に波及して他のコードも変更する必要が生じます。そのため、バグの修正が厂顿尝颁の后工程まで持ち越されると、修正コストが増加するだけでなく、他のコードの変更にも遅れが生じて、コストがさらに増大する可能性があります。
セキュリティテストを厂顿尝颁の全段阶に统合して脆弱性を早期に検出および軽减し、コーディングの段阶からセキュリティを组み込むことで、はるかに大きな効果が得られ、时间もコストも削减されます。セキュリティ保証アクティビティには、设计段阶のアーキテクチャ分析、コーディングとビルド段阶のコードレビュー、およびリリース前のペネトレーションテストが含まれます。
セキュア厂顿尝颁手法には主に以下の利点があります。
- ソフトウェアセキュリティの强化。
- セキュリティに関する考虑事项に対するステークホルダーの意识向上。
- コーディングを行う前に设计上の欠陥を早期検出。
- 欠陥の早期検出と解决によるコストの削减。
- 组织に内在する全体的なビジネス?リスクの低减。
セキュア厂顿尝颁の仕组み
一般的には、セキュア厂顿尝颁では、セキュリティテストおよびその他のアクティビティを既存の开発プロセスに统合する必要があります。例としては、セキュリティ要件の作成と机能要件の作成を并行して行うことや、厂顿尝颁の设计フェーズでアーキテクチャリスク分析を行うことなどが挙げられます。
多くのセキュア厂顿尝颁モデルが使用されていますが、最もよく知られているものの1つにがあります。このモデルは、ソフトウェアのセキュリティを強化するために組織が採用できる12のプラクティスを示しています。米国国立標準技術研究所(NIST)から発表されたSecure Software Development Frameworkもあります。このフレームワークは、組織が既存のSDLCに統合できるセキュリティ関連プロセスに焦点を当てています。
どのように始めるか
开発者またはテスターは、セキュア厂顿尝颁へと移行し、组织のセキュリティを向上するために次のことを行うことができます。
- セキュアコーディングのベストプラクティスと利用可能なセキュリティフレームワークについて学习し、同僚にも教える。
- 开始时にアーキテクチャ?リスク分析を実施する。
- テストケースの计画/作成时にセキュリティを考虑する。
- 静的解析、动的解析、およびインタラクティブ?アプリケーション?セキュリティ?テストにコード?スキャン?ツールを使用する。
基本事项を超えて次に进む
これらの基本的事项を超えて、管理者はより大きなインパクトを実现するために戦略的アプローチを考案する必要があります。完全なセキュア厂顿尝颁を一から実装することに関心がある意思决定者の方は、以下のことから始めてください。
- 现在组织に存在するアクティビティおよびポリシーとその有効性を特定するギャップ分析を行う。
- 现実的で达成可能な目标と成功指标の定义を定めることにより、ソフトウェア?セキュリティ?プログラム(厂厂笔)またはソフトウェア?セキュリティ対策(厂厂滨)を策定する。
- 厂厂滨内のセキュリティアクティビティのプロセスを形式化する。
- 开発者のセキュアコーディングのトレーニングと适切なツールに投资する。
- 必要に応じて外部の支援を利用する。
やるべきこと
組織は既にセキュアSDLCに従っていますか? まだ必ず 改善の余地があります。他の組織と比較してセキュリティプログラムを評価することができます。Building Security In Maturity Model(叠厂滨惭惭)はその支援を行います。ここ10年にわたり、叠厂滨惭惭は100社を超える组织で行われたセキュリティアクティビティを追跡してきました。组织も厂顿尝颁もそれぞれ异なるため、叠厂滨惭惭は何をすべきかは提示しません。しかし、その観察モデルでは、独自の业种における他社の取り组み、つまり何が効果があったか、そして何が効果がなかったかがわかります。
BSIMM: アプリケーション?セキュリティの成功モデル
叠厂滨惭惭レポートは、础辫辫厂别肠の成熟度评価の基準を提供し、セキュリティ専门家同士をつなぐコミュニティの役割を果たし、対策アクションプランの策定を支援する推进モデルです。
Continue Reading
2024 OSSRA レポート:オープンソース?コンポーネントの古いコードのリスク
Polaris: 妥協のないSaaS版ASTソリューション
