シフトレフトとは?
設計・開発段階からセキュリティの機能を組み込む「セキュアプログラミング」の教養が欠けている – 初代内閣官房初代情報セキュリティ補佐官 山口英教授
この言葉は、昨今のサイバーセキュリティ被害を鑑みた根本原因を示しています。脆弱なシステムの原因の85%は「設計と実装コードの問題」であり、完成してから後付けしたファイアウォールの問題ではありません。
セキュリティは後付けできません。脆弱な状況を放置することにより発生している、数々のセキュリティ事故によるビジネスへの打撃は、甚大です。システムのセキュリティ確保には、より早期にセキュリティに着手すること ー 「シフトレフト」による開発プロセスの強化のプラクティスが有効です。
OWASP – ソフトウェアを確かなものにするオープンなコミュニティ
開発工程の早期に、繰り返しセキュリティを実践すること。この実現に必要なことは、OWASP(オワスプ・Open Web Application Security Project)の勉強会や、成果物となるコンテンツから、いつでも、どなたでも学ぶことができます。
OWASPは、オープンで自由な、ソフトウェアセキュリティの世界最大のオープンソース・コミュニティです。国内でも東京、関西、九州、東北、沖縄などにチャプターがあり、自由に参加できる定期的なミーティングも開催されています。大勢のソフトウェアエンジニアからビジネスマネージャまで幅広く歓迎されています。
シフトレフトを企業として実践するには
「シフトレフト」プラクティスを紹介するブリーフィングを展開しています。「脆弱性のないソフトウェアセキュリティ保証を実現するには」をご覧ください。
弊社は、ハイリスクなシステムの開発や運用を、企業として実践すべき方々に向けて、セキュリティイニシアチブ向けのトレーニングやツール、またマネージドサービスを提供しています。これにより、それぞれのサイバーセキュリティリスクにビジネスの現場で対応するチームに必要なものを揃えることができ、企業としてビジネス・セキュリティを自分で実践することができます。
スピーディーに組織に実装するのに必要な、メソドロジ(方法論・ノウハウ)、ツール(誰でも使える)、トレーニング(訓練、情報共有、普及啓発)を提供しています。
関連記事:
- コードのセキュリティ問題を発見し修正する SecureAssist
- 脆弱性のないソフトウェアセキュリティ保証を実現するには
- PCI DSS v3.2の最大難関、セキュアなシステムを実現するには
- 真剣に考えよう組織的なセキュリティ対策〜ブリーフィングを続々開催
- 役員・役職者・一般実務担当者のためのセキュリティトレーニング・ブリーフィング
コース例:開発セキュリティ・シフトレフト・リーダ・ブートキャンプ
- 経営陣、すなわちCEO, CIO, CTO, CISO職そして、そのアシスタント(補佐官)
- システム発注者としてのマネージャ、ソフトウェア検収担当
- 開発アーキテクト・プロダクトマネージャ
- 品質管理、CSIRT、SOC、インシデントレスポンス担当者
UNIT | タイトル | 概要 |
D1 | サイバーセキュリティ情勢とビルトイン・セキュリティの意義 | サイバーセキュリティ情勢とビルトイン・セキュリティの意義 |
D2 | セキュリティ原則とアプリケーションセキュリティ | セキュリティ原則とアプリケーション顕在化する脅威の類型 |
D3 | ソフトウェアの脆弱性、脅威と基本的な対策 | ソフトウェアの脆弱性、脅威と対策 OWASP Top 10, SANS 25 |
D4 | 脆弱性の発生を防ぐ手法設計、コーディング | 設計・コーディング プロアクティブコントロール |
D5 | 脆弱性の発生を防ぐ手法検証標準、リスクベーステストの設計 | 検証標準 ASVS |
D6 | SDLプロセス・スコアリング | ソフトウェア開発ライフサイクルにかかわる情報収集とアクションBSIMM、OpenSAMM |
H4 | ハンズオンセキュアコーディングチェックハンズオン(1DAY / 6H) | セキュア開発の対象となる資産のコーディングチェックとメンテナンス OWASP Coding Practices / Checklist |
UNIT | タイトル | 概要 |
D1 | サイバーセキュリティ情勢とビルトイン・セキュリティの意義 | サイバーセキュリティ情勢とビルトイン・セキュリティの意義 |
D2 | セキュリティ原則とアプリケーションセキュリティ | セキュリティ原則とアプリケーション顕在化する脅威の類型 |
D3 | ソフトウェアの脆弱性、脅威と基本的な対策 | ソフトウェアの脆弱性、脅威と対策 OWASP Top 10, SANS 25 |
D4 | 脆弱性の発生を防ぐ手法設計、コーディング | 設計・コーディング プロアクティブコントロール |
D5 | 脆弱性の発生を防ぐ手法検証標準、リスクベーステストの設計 | 検証標準 ASVS |
D6 | SDLプロセス・スコアリング | ソフトウェア開発ライフサイクルにかかわる情報収集とアクションBSIMM、OpenSAMM |
H4 | ハンズオンセキュアコーディングチェックハンズオン(1DAY / 6H) | セキュア開発の対象となる資産のコーディングチェックとメンテナンス OWASP Coding Practices / Checklist |
Eラーニング・パッケージ
例: 開発者向け セキュア開発実装コース: 5コースバンドル (合計5H)
- ソフトウェアセキュリティの基礎 (40min)
- OWASP Top 10 (1h 20)
- PCI-DSS に対応したセキュアな開発 (1h)
- セキュア開発の基礎:JAVA (45min)
- セキュア開発の基礎.NET (1h)
- オンラインコースはデモンストレーションがご覧になれます。
お問い合わせ
セミナー、企業研修、オープンな勉強会なども開催しています。
ぜひ、お気軽にお問い合わせください。