NashTech

セキュア・バイ・デザイン」といえば聞こえはいいが、どうすればいいのだろう?

セキュア・バイ・デザイン」といえば
聞こえはいいが、どうすればいいのだろう?

セキュア・バイ・デザイン」は、ソフトウェア・システムのセキュリティを確保するための主流のアプローチになりつつある。 セキュリティの確保には、セキュリティ・テストをソフトウェア開発手法の一部とすることが必要である。 ここでは、NashTechのセキュリティ・コンサルタント、ヒエン・トリンが、セキュリティ・テストの実際について議論し、NashTechが最新のソフトウェア開発手法にどのようにセキュリティ・テストを組み込んでいるかを見ていく。

ソフトウェア工学における「セキュア・バイ・デザイン」とは、ソフトウェアが基礎からセキュアに設計されていることを意味する。 セキュア・バイ・デザインは、ソフトウェア・システムのセキュリティとプライバシーを確保するための開発手法の主流になりつつある。 しかし、ソフトウェア設計に組み込まれたセキュリティが効果的であることを確認するためには、ソフトウェア開発アプローチに沿ったセキュリティテストを実施する必要がある。

secure-by-design-nashtech-1024x361

ソフトウェア・テストにおいて、セキュリティ・テストはどのような位置づけにあるのだろうか?

ソフトウェアの機能テストは、リスク、要件、ユースケース、モデルなど、さまざまな要素に基づいて行われる。 セキュリティ・テストは、これらの要素のセキュリティの側面に基づいているが、さらに、セキュリティ・リスク、セキュリティの手順と方針、攻撃者の行動、既知のセキュリティの脆弱性を検証し、妥当性を確認することも目的としている。

したがって、アプリケーション・セキュリティ・テストを単に配備前のチェックポイントにするという従来のアプローチは、実際には意味をなさない。 分析とテストの過程で発見された脆弱性や弱点に、タイムリーかつ費用対効果の高い方法で対処するのは難しいからだ。

もちろん、セキュリティ・テストは、ソフトウェア・システムやそれを使用する組織が攻撃から安全であることを保証するものではない。 しかし、できることは、リスクを特定し、既存のセキュリティ防御の有効性を評価することである。

全体的な視野に立つ

人、プロセス、テクノロジーは、完全なITソリューションを提供する「鉄の三角形」とみなされることが多い。 この3つの領域はすべて、セキュリティも含め、ITデリバリー全体に影響を与える:

  •  各人には異なるスキルレベル、態度、意図があり、それらすべてが、セキュリティが各人にどのような影響を与えるか、また、セキュリティ管理の有効性にどのような影響を与えるかに影響する。 だからこそ、誰もがセキュリティについて十分に認識し、教育を受けることが重要なのだ。
  • プロセス プロセスは、セキュリティ関連サービスを含む IT サービスの提供方法を定義する。 セキュリティの文脈では、プロセスには、貴重な資産を保護するために実施される手順や基準が含まれる。 効果的であるためには、プロセスが定義され、最新で一貫性があり、セキュリティのベストプラクティスに従っていなければならない。
  • 技術 テクノロジーには、組織を自動化またはサポートする設備、機器、ハードウェア、ソフトウェアが含まれる。 テクノロジーは、繰り返しの多い仕事を、手作業で行うよりも速く、ミスを少なくするのに役立つ。 リスクは、間違った使い方をすれば、テクノロジーは単に人々のミスをより速くする手助けをしてしまうということだ。

ソフトウェア開発ライフサイクル全体を通じたセキュリティ・テスト

NashTech では、ソフトウェア開発ライフサイクル (SDLC) 全体を通してセキュリティを考慮し、セキュリティ要件が確実に実装されるようにしています。 そのため、セキュリティ・テストはすべてのライフサイクル・フェーズに組み込まれている。

私たちは、以下のマッピングが示すように、各フェーズでセキュリティを保証するために異なる方法論と技術(レビュー、分析、テスト)を使用します。

要求分析

  • 組織のセキュリティコンプライアンスの観点から、ビジネス要件、セキュリティ目標、目的を理解し、分析する。
  • プロジェクトに適用するセキュリティ標準とベストプラクティスに合意する。
  • セキュリティ要件と悪用/誤用事例をレビューする。

建築デザイン

  • アプリケーションで使用される標準的な技術やフレームワークを確認する。
  • 標準的な技術やフレームワークを使用する際のセキュリティリスクを検討し、必要であれば調整する。
  • プロジェクトに適したセキュリティ設計原則を検討し、それに従う。

コーディングとユニットテスト

コードレビュー時にセキュアコーディングプラクティスのリストを使用し、開発者やソフトウエア自体が確立されたセキュリティ手法やベストプラクティスに従っているかどうかを判断する。

システムテスト

  • 最終目標環境の近似値でセキュリティテストを実施する。
  • 侵入テストによって、セキュリティ要件がシステムの観点から正しく実装されていることをテストする。

ユーザー受け入れテスト

システムが実環境においてユーザーのニーズを満たしていることを検証する。 これには、セキュリティ要件が正しく実装され、満たされていることの確認も含まれる。 このフェーズまでに、ほとんどのセキュリティテストはすでに実施されているはずであるが、ビジネスプロセスレベルで発生するセキュリティシナリオをテストする機会はまだ残っている。

配備

コンフィギュレーションをチェックし、対象環境のセキュリティ・コンフィギュレーションが正しいことを確認する。

メンテナンス

専門家に侵入テスト、脆弱性スキャン、パッチの影響分析を実施させる。 欠陥の修正や機能追加のために加えられた変更をテストし、システムに新たな脆弱性が導入されていないことを確認することに重点が置かれる。

一回で終わり」ではない

留意すべき重要な点は、セキュリティ・リスク評価は、ある時点のスナップショットに過ぎないということである。 新たな脅威が日々出現しているため、セキュリティ・リスクは組織内やプロジェクトごとに常に変化している。 アプリケーションも時間とともに変化する。

したがって、セキュリティリスク評価は、プロジェクトとそのプロジェクトが経験する変化の度合いに応じて異なるが、定期的な間隔で実施すべきである。

NashTechがお手伝いできること

セキュリティは、現代のアプリケーション開発において非常に重要な側面である。 多くのお客様のプロジェクトを成功に導いてきた経験から、安全で高性能なソフトウェアを提供するために何が必要なのかを洞察することができました。

私たちは、OWASPトップ10をセキュリティテスト基準の中核として使用しています。 また、すべてのセキュリティ基準がすべての状況に適用されるわけではないため、私たちは各プロジェクトやクライアント固有の要件を理解し、それらに適したアプローチをとるようにしています。

もっと知りたいですか?

ソフトウェア・テスト・サービスの詳細については、sales.japan@nashtechglobal.comまでお問い合わせください。

おすすめ記事

THE OUTがプレミアムレンタカー業界をどのように破壊するか

ベトナムのナッシュテック開発チームと緊密に協力し合うことで、高品質でデジタルファーストの高級レンタカーサービスを構築することができた。 将来を見据えて、THE OUTは製品ロードマップに注力し、旅行代理店やコンシェルジュ・パートナーを含むB2B顧客へのサービスを拡大し、そのための新しいポータルを構築している。

GCP
GCP
特注のデスク予約システムでハイブリッド勤務を実現:内部の視点

ナッシュテックの社内デスク予約ソフトウェアがどのように職場の効率化を促進し、高い精度で稼働率を測定したかをご覧ください。

オーストラリアで設立された広告・メディア費ビジネスは、ナッシュテックの支援により、いかにして駆け出しのビジネスから世界的な大企業へと成長したのか?

オーストラリアで設立された広告・メディア支出企業は、現在世界的な事業展開をしており、ナッシュテックがその成長を支えていることを知っている。

テクノロジー・ジャーニーを理解し、複雑なデータの世界をナビゲートし、ビジネス・プロセスをデジタル化し、シームレスな ユーザー体験を提供するお手伝いをします。

上部へスクロール