このページの先頭です
ここから本文です
  1. HOME
  2. SPECIAL
  3. セキュリティを重視したビジネス展開に不可欠!KDLが実践する「セキュア開発」とは?

特集

サービスページではご紹介しきれない、新技術やコラムを公開しています。

column

セキュリティを重視したビジネス展開に不可欠!KDLが実践する「セキュア開発」とは?

セキュリティ事故が起きた時、損失が大きいビジネスシステム。
せっかく構築するのなら安心安全なシステムでビジネスを成長させたいとお考えでしょう。

では皆様は、「昨今のシステムがなぜ危険にさらされているのか」、または、「どんな危険にさらされているのか」をご存知でしょうか?その答えをKDLは知っています。

現在は、物づくりの段階から十分にセキュリティを考慮に入れたシステムを構築しない場合、せっかくのビジネスが突然死する恐れがあります。その影響は甚大で、社員の一斉離職や重大な損害賠償責任を負うなどに至った場合は、会社の存続が危うくなります。そこでKDLでは、セキュリティを重視し考慮したシステム構築に取り組んでいます。

コード1つとってもセキュリティの要素が必要だということを熟知しているSIerは多くはありません。KDLはこれまで何百というシステムの脆弱性を診断してきた実績から、どういったところにセキュリティホールが生まれるのかを熟知しています。

また、フロントメンバーも営業段階からセキュリティを考慮し、お客様が事業として何を伸ばしていきたいのかのインプットを元に、提案をまとめていきます。私たちKDLのメンバーはセキュリティのプロとして常に世界中のあらゆる情報にアンテナを張り巡らせているのです。

「お客様のビジネスを成功させるシステムを創りたい」
この思いを叶えるため、すべてのシステムに存在するセキュリティという大きなリスクを激減させる手立て、それがKDLが実践する「セキュア開発」なのです。

開発段階からセキュリティを考える

アプリケーションやWebサイトに脆弱性(システムの弱点)を作り込んでしまう原因の約85%(KDL調べ)は、システム開発段階だという報告もあり、その多くはソースコードの問題に起因します。事件発覚後の対応でも、システムを改善する際にもほとんどすべての場合において、ソースコードを改修しなければなりません。しかし、システムが完成してから個別の部分を修正するのは大変な作業です。

そこでKDLでは、開発段階からソースコードはもちろん、システム全体の安全性を高める「セキュア開発」を実践しています。「セキュア開発」によって、「問題ができるだけ起きにくいようにする」「問題が起きたらできるだけ早く検知する」「問題が起きた場合でも、最小限の影響にとどめる」システムが構築できます。

セキュア開発とは

KDLでは従来よりセキュア開発の一環として出荷するシステムに脆弱性診断を行ってきました。しかしながら出荷段階の診断のみでは不十分だということが分かってきました。コストやスケジュール面を考えると「戻り」が多すぎ、修正に莫大なコストがかかることもあります。

従来までの脆弱性診断に加え、要件定義~設計フェーズ、実装フェーズの各フェーズにおいて効果的なセキュリティ対策を進めることで無駄のない開発が可能になるのです。

例えば、KDLが進める「要件定義」では、お客様やシステムごとに異なる脅威を分析・検討し、適切なセキュリティ対策を行うためのセキュリティ要件も定義します。開発するシステムが運用される際に脅威となり得るリスクが何なのかを要件定義の段階で分析・検討することで(シフトレフトを行う)、これまでよりも前段階で、より効果的で本質的なセキュリティ対策が可能となります。

このように開発の上流工程からセキュリティ対策をするKDLのセキュア開発は、セキュリティ対策戦略の三大原則である「問題ができるだけ起きにくいようにする」「問題が起きたらできるだけ早く検知する」「問題が起きた場合でも、最小限の影響にとどめる」を実現し、依頼者、ユーザ、開発者などそのシステムにかかわる全員にとって、安心安全なサービスを提供することが可能となるのです。

シフトレフトとは

システム開発は下図のように、要件定義→設計→開発→テスト→運用と進むことが一般的ですが、運用前の脆弱性診断だけで担保していたセキュリティをもっと左側の工程でも担保する事を表しています。

KDL セキュリティ技術顧問 岡田良太郎より

今冬、お恥ずかしながらインフルエンザA型にかかりました。そこで、抗インフルエンザ剤を処方され、おかげさまで大変よく効きました。さて、もしこの薬が、とりあえず作って「成り行き任せ」や「出たとこ勝負」で提供されていたら、どうでしょうか。「どうもあまり効かないようだから、もっと強くしよう」とか「すぐに効く人が多いから半分の量にしよう」など、たまったものではありません。幸い、製薬の研究開発は、膨大な学問に裏付けられた実験と検証プロセスに時間と労力をかけた上で、厳重な許認可のプロセスを経ていますので、安心で安全なお薬が私たちの手元に届きます。

同じように、これほどシステムに悪影響を与える要素が多い中、ビジネスを加速するシステムには強靭さが期待されています。従来の「動けば良い」「見栄えが良ければオールOK」などという牧歌的な考えは変化しています。一方、開発終了後の最終的なテストだけに依存してセキュリティ確保する方法では、スケジュールとコストのプレッシャーが高く、改善にも限界があることが認識されてきました。

そこでKDLでは、システム開発にあたり、お客様と一緒にビジネスリスクからブレイクダウンした上で、アーキテクチャを選んでいく実践が進んでいます。つまり、システムができあがるもっと前に、そう、注力する段階をずっと事前に(左に)シフトしています。この「シフトレフト」のプラクティスをソフトウェア開発プロセスに適用することで、ビジネスを安心で安全に推進することができます。

関連特集

    

セキュア開発について、セキュリティ技術顧問の岡田とセキュリティソリューション事業部長三木が語る、セキュリティ特別対談はこちら!

「セキュリティリスクを軽減させる『セキュア開発』を解き明かす」

ページの先頭に戻る