システム開発と運用をセキュアにする
サービス・プロダクトに、セキュリティを確実に折り込む
アセスメント、ツール、そしてサービス
システムのセキュリティ対策、
どこから手をつけるか、
何を優先して進めるか
いつまでにどこまでできるか
- システムへのセキュリティリスクは把握できていますか? 対応状況はどうですか?
- そこで、防御と対応のセキュリティに貢献する、どんなテクノロジを導入していますか?
- 導入と改善をハンドリングする組織体制はどうしたら良いでしょうか?
「なにをどこまでやれば?」を解決する3つのゴールへのコンセプトは以下の3つです。
- 自社とシステムのビジネスリスクを識別するインテリジェンス – ENISA脅威トレンド, IPA 情報セキュリティ10大脅威,OWASP Top 10, MITRE ATT&CK,攻撃キャンペーンを踏まえたリスクプロファイル
- システムに内在するセキュリティリスクの現状を把握できる仕組みの導入(WHERE/WHAT) – セキュリティ脆弱性テスト, デザイン,コンポーネント,コード,モニタリング,そして人のトレーニング
- セキュリティレベルを保証する組織的取り組みの成熟度を知り、戦略をたてる(HOW) – 生産技術,PSIRTインシデントレスポンス,コンプライアンス,業界固有の、あるいは顧客要件への対応
世界で、国内で実証されたセキュリティをソフトウェア開発に組み込むベンチマーク、OWASP SAMM。御社の開発運用にかかわる組織的な取り組みの現状をアセスメントし、改善戦略をマッピングます。セキュア開発の導入戦略をロジカルかつ現実的に構築しましょう。
-
現状の取り組みをアセスメント
規模や業務が様々なプロジェクト活動におけるセキュリティ関連の活動や、リスクコントロール対策の現状を把握・数値化し、スコアリングすることこそが、セキュリティのビルトイン開発の第一歩です。データによる証拠に基づいた改善サイクルを実現するために、基礎資料となるスコアリングは必須。組織全体における実現可能なリスクコントロールを明確化することから始めましょう。
-
OWASP SAMM を用いた、ソフトウェア開発・運用体制のスコアリング
ソフトウェア開発におけるリスクの可視化、セキュリティ活動の妥当性や効果の評価、及びセキュリティ姿勢強化ロードマップの策定に効果的な業界標準のフレームワーク / ベンチマークとなるのは、OWASP SAMM ソフトウェアセキュリティ保証成熟度モデル。
これはOWASPコミュニティで開発された「開発・運用体制をスコアリングする」フレームワークとして、業種、技術、体制、組織や開発プロジェクトの特性に関わりなく柔軟に活用できます。
多様な開発プロジェクトを持つ組織全体での統一性の確保につながるセキュリティ・ガバナンス・ツールとして、継続的に利用することができます。
これを経験あるリサーチャが調査・分析・レポーティングすることで有効に利用することができます。
-
セキュア開発を推進するツール・ソリューションを選択
2016年11月以降のPCIDSS認定の審査基準はv3.2ベースとなりました。この基準では、暗号化方式の基準の改定(TLS1.0の廃止)、カードデータアクセスコントロールに多要素認証が必須となるなどのメカニズムの改善が必要となるほか、セキュアなコードの開発とメンテナンス、またそのための年次の教育が必須要件として強調されています。
セキュアなシステムづくりには、プログラムコードの開発作業には、ソースコード解析ツールとその活用のトレーニングがセットで必要です。
当社は、商用・OSSなど主要ツールベンダーや開発者との協力により開発検証に取り組んできました。
それで、御社にフィットする最適なソースコード解析ツールやテストツールを検証してください。まずは、御社の現状のコードを分析する、POCから始めませんか。
開発セキュリティを推進する
サービスを
すぐにお試しいただけます。