なぜ今、セキュア開発が必要なのか
クラウド、IoT、生成AIなど、私たちのソフトウェアは日々つながり、進化し続けています。
しかし、その裏で、ソフトウェアに対する攻撃手法も進化し、セキュリティリスクが開発初期段階から設計に影響を与える時代です。
セキュリティは「最後に加えるもの」ではなく「最初に設計するもの」です。本ガイドでは、セキュア開発を「要件定義」から「運用保守」まで、各フェーズごとに体系的に解説します。
ソフトウェア開発の鉾と盾
現代の開発現場では、「新機能追加」(鉾)をするためにスピードが求められる一方、「セキュリティ」(盾)がおろそかになりがちです。「速さ」と「安全」を同時に実現するためにソフトウェア開発の実現が求められています。
| 項目 | 鉾:「新機能追加」 | 盾:「セキュリティ」 |
| 開発目的 | 機能拡張、競争優位 | セキュリティ確保、信頼維持 |
| 成果の見え方 | 目に見えるリリース | 目に見えない事故回避 |
| リスク | 技術的負債、事故誘発 | 開発スピード低下の懸念 |
セキュリティとはマクロ的な視点では、情報システムを守るための組織的な対策があることが前提です。その上で、ミクロ的な視点として、ソフトウェア開発プロセス自体にセキュリティを含めて作りこむ必要があります。
セキュア・ソフトウェア開発ガイドとは?
本ガイドでは、ソフトウェア開発をセキュアに進める指針として、以下のテーマについて、整理します。
プロジェクトマネジメントとして、セキュリティ開発に関する規格(NIST SP800-218:SSDF)の取り組みについて解説します。
・要求定義フェーズにセキュリティを組み込む
要求定義において、非機能要件であるセキュリティを機能要件化する方法について解説します。
・セキュリティアーキテクチャ
各種セキュリティ機能の仕組みと実装方法について解説します。
・セキュリティプログラミング
セキュアコーディングの基準と静的解析、動的解析の方法について解説します。
・セキュリティのためのテスト
セキュリティ対策の有効性を確認するためのテスト方法について解説します。
・リリースと外部認証
本番環境への移行のための準備と手順と、リリースに必要となる各業界の外部認証について解説します。
・運用・保守とセキュリティ対応
セキュリティを維持管理するための体制と方法について解説します。
