KDL BLOG

セキュア開発の推進のために取り組んでいること

※2024.6.14更新※
セキュア開発トレーニング講座を始めました!記事の最後に記載しています。

サイバー攻撃の激化やIoT、クラウド領域の拡大に伴い、情報セキュリティに関するニュースが連日報道されるようになりました。個人情報に関する法律も整備されるなか、システム開発時に特にセキュリティに重点を置かれるお客様も増えています。

KDLでは、お客様が安心安全なシステムでビジネスを成長させることができるように、セキュア開発を推進しています。今回は、セキュア開発とは何か?と、進める際の指標としたOWASP SAMMについてご紹介します。

セキュア開発を始めるきっかけになったきっかけや、セキュア開発の始め方はこちらのブログでご紹介していますので、これから始めたいという方はぜひこちらも参考にしてみてください。

セキュア開発とは

セキュア開発とは、従来のシステムの完成・納品前に実施される脆弱性診断だけではなく、そのずっと前の工程であるシステムの要件定義、設計、開発段階から全体の安全性に留意して開発する手法です。

なぜ、納品前だけではなく開発前やコーディングの段階でセキュリティ対策をすべきなのでしょうか?

その理由のひとつに、脆弱性が見つかった工程が後ろであるほど、それに対応するためのコストが高くなることが挙げられます。例えば、システムの出荷前にセキュリティ診断を実施した結果、セキュリティに問題が判明したとします。しかし、その問題に対応するための手戻りが大きすぎたり、そのあと再テストなどを考えると当初のリリースのスケジュールに間に合わないなどの問題が発生することになるのです。

2018-08-06_172538.png

KDLでは2017年ごろから「セキュア開発推進」という部署を設け、本格的に取り組みはじめました。開発初期の工程からセキュリティ対策を実施するための「シフトレフト」を実践しています。

2018-08-07_091551.png

どのように進めたか

まず、開発・運用体制を数値でスコアリングするソフトウエアセキュリティ保証成熟度モデル「OWASP SAMM(Software Assurance Maturity Model )」によるセキュリティ対策の戦略の策定や実施を進め、組織的に確実に高いセキュリティ水準を担保できる体制と仕組み作りに取り組みました。これは、4つのカテゴリと12のアクティビティ、77のチェック項目でセキュリティの体制を評価するものです。

2018-08-06_170801.png

KDLでは、2008年より情報セキュリティサービス「Proactive Defense」を提供しており、脆弱性診断やセキュリティポリシーの策定、コンサルティングなど幅広いサービスを展開しています。

よく「セキュリティサービス」と「セキュア開発」はどう違うの?というご質問をいただきますが、本質的な考え方は同じです。お客様のビジネスを安全かつ安心に成長させていただけるよう、セキュリティで大切な「対策・検知・対応」ができる環境づくりに努めます。
そこでKDLでは、現在稼働しているシステムの脆弱性診断やさまざまな対策支援、フォレンジック(事故証跡)調査など主に既存のシステムをターゲットに展開しているものが「Proactive Defense」のサービス、そして1から構築するWEBサイトやシステムの場合は設計や開発の段階からセキュリティを考慮しましょう、というのがセキュア開発だと捉えています。

また、実際にセキュア開発を組み込んだ案件も稼働しています。

実際の評価から見えてきたもの

KDLでもこの評価を実施したところ、セキュア開発に本格的に取り組む前は納品前の脆弱性診断と、課題の管理に依存している傾向がありました。開発途中のセキュリティ対策は属人的になりがちで、体制として確立ができていないことも浮き彫りになりました。これはソフトウェア会社に非常に多い傾向です。

KDLでは、開発工程でもセキュリティに取り組むためにまずは目標を設定し、開発段階でのレビューを実施しながら、組織全体で統一した開発基準を策定しています。

2018-08-06_170729.png

セキュア開発を始めるきっかけになったきっかけや、セキュア開発の始め方は次のブログご紹介しています。これから始めたいという方はぜひこちらも参考にしてみてください。

脆弱性診断を内製化してみてわかったこと/セキュア開発の始め方

セミナー開催と参加者の声

matsuda.pngKDLでは、お客様に安心・安全なシステムをご利用いただけるよう今後も体制を強化し続けるとともに、IT業界全体がセキュリティへの意識を高めていけるように、セキュア開発に関するセミナーを開催しています。先日は、神戸と東京でセミナーを開催し、実際にKDLでセキュア開発体制の構築を進める、セキュア開発推進チームの松田が登壇させていただきました。実際にご参加いただきました方からは、「OWASP SAMMは知っていたが具体的な進め方について知ることができてよかった」「実際のハッキング手法がイメージできた」「JSSECガイドをしっかり読もうと感じた」などの声をいただいています。実際の評価の進め方や体制づくりについて詳細をご紹介していますので、ご興味の方はぜひ今後もセミナー情報にご注目ください!

セミナー開催と参加者の声

開発者のための「セキュリティの原理原則」を学ぶ、「セキュア開発トレーニング」の提供を開始しました。これは当社でエンジニア向けに開催していたものを、社外向けに提供するものです。ECサイトや業務システムなど、主に個人情報や機密情報を扱うシステムの開発を行う方は、ぜひチェックしてみてください。

セキュア開発トレーニングはこちら

松丸の写真

筆者:松丸恵子

広報室