2018年8月 7日 14:43

セキュア開発推進のために取り組んでいること

サイバー攻撃の激化やIoT、クラウド領域の拡大に伴い、情報セキュリティに関するニュースが連日報道されるようになりました。個人情報に関する法律も整備されるなか、システム開発時に特にセキュリティに重点を置かれるお客様も増えています。

KDLでは、お客様が安心安全なシステムでビジネスを成長させることができるように、セキュア開発を推進しています。

セキュア開発とは

セキュア開発とは、納品前の脆弱性診断だけではなく、システムの要件定義、設計、開発段階から全体の安全性を高める開発手法で、KDLでは2017年ごろから「セキュア開発推進」という部署を設け、本格的に取り組みはじめました。

2018-08-06_172538.png

なぜ開発段階からのセキュリティ対策をすべきなのか?その理由のひとつに、開発するシステムの脆弱性が見つかったとき、そのときの工程が後ろであるほど対応コストが高いことが挙げられます。例えば、システムの出荷前にセキュリティ診断を実施した結果セキュリティに問題が判明しても、コストが掛かりすぎる、スケジュールに間に合わないなどの問題がたびたび発生してしまいます。そこでKDLでは、開発初期の工程からセキュリティ対策を実施する「シフトレフト」を実践しています。

2018-08-07_091551.png

OWASP SAMMによる評価

現在、開発・運用体制をスコアリングするソフトウエアセキュリティ保証成熟度モデル「OWASP SAMM(Software Assurance Maturity Model )」によるセキュリティ対策の戦略の策定や実施を進めており、組織的に確実に高いセキュリティ水準を担保できる体制と仕組み作りに取り組んでいます。これは、4つのカテゴリと12にアクティビティ、77のチェック項目でセキュリティの体制を評価するものです。

2018-08-06_170801.png

KDLでは、2008年より情報セキュリティサービス「Proactive Defense」を提供しており、脆弱性診断やセキュリティポリシーの策定、コンサルティングなど幅広いサービスを展開しています。
よく「セキュリティサービス」と「セキュア開発」はどう違うの?というご質問をいただきますが、本質的な考え方は同じです。お客様のビジネスを安全かつ安心に成長させていただけるよう、セキュリティで大切な「対策・検知・対応」ができる環境づくりに努めます。
そこでKDLでは、現在稼働しているシステムの脆弱性診断やさまざまな対策支援、フォレンジック(事故証跡)調査など主に既存のシステムをターゲットに展開しているものが「Proactive Defense」のサービス、そして1から構築するWEBサイトやシステムの場合は設計や開発の段階からセキュリティを考慮しましょう、というのがセキュア開発だと捉えています。

また、実際にセキュア開発を組み込んだ案件も稼働しています。

実際の評価から見えてきたもの

KDLでもこの評価を実施したところ、セキュア開発推進に本格的に取り組む前は納品前のセキュリティテストと、課題の管理に依存している傾向がありました。開発途中のセキュリティ対策は属人的になりがちで、体制として確立ができていないのがソフトウェア会社に非常に多い傾向です。

そこでKDLでは、開発工程でもセキュリティに取り組むためにまずは目標を設定し、開発段階でのレビューを実施しながら、組織全体で統一した開発基準を策定しています。

2018-08-06_170729.png

セミナー開催と参加者の声

matsuda.pngKDLでは、お客様に安心・安全なシステムをご利用いただけるよう今後も体制を強化し続けるとともに、IT業界全体がセキュリティへの意識を高めていけるように、セキュア開発に関するセミナーを開催しています。先日は、神戸と東京でセミナーを開催し、実際にKDLでセキュア開発体制の構築を進める、セキュア開発推進チームの松田が登壇させていただきました。実際にご参加いただきました方からは、「OWASP SAMMは知っていたが具体的な進め方について知ることができてよかった」「実際のハッキング手法がイメージできた」「JSSECガイドをしっかり読もうと感じた」などの声をいただいています。実際の評価の進め方や体制づくりについて詳細をご紹介していますので、ご興味の方はぜひ今後もセミナー情報にご注目ください!

ページの先頭に戻る