システム開発の脆弱性リスクの撲滅は可能です。

サービスやプロダクトがセキュリティ侵害の影響を受けてダウン、データが流出、システムが暗号化される例が後をたちません。セキュリティを確実に組み込むには、自社のリスクの理解、現状の把握と改善、そしてそれを前進させるチームが必要です。アスタリスク・リサーチのコンサルティングと、自社のチームでお使いになれるMSSPサービスが役立ちます。

なぜ企業は、システムをセキュアにするための取り組みに投資しなければならないのでしょうか

  1. 法規制と国際標準への準拠
    • データ保護とプライバシーに関する法規制、例えばGDPRやCCPA、またPCI DSSは、セキュアな開発プロセスを通じてのみ遵守が可能です。
    • ISO 27001の改定とISO 27002の審査基準は、セキュリティ実装とセキュアなコードの開発を必須としています。
    • 国際標準への準拠と法的リスクの回避は、企業がグローバルな市場で競争力を維持するために不可欠です。
  2. サイバー脅威の進化と影響の増大
    • サイバー攻撃は進化しており、企業の資産と顧客の信頼をたてにビジネスを派手に展開し成功しています。サービスオーナーはサイバーセキュリティ侵害による損失補填を前提としたファイナンス計画を余儀なくされています。
    • OSSコンポーネントの利用や、開発アウトソーシングはコスト削減に寄与しますが、外部の開発者によるコードのセキュリティリスクは見えにくい状態であり、サプライチェーンリスクを潜在させています。
  3. AI時代の到来と開発プロセスの変化
    • AIの導入により、人間の直接的な確認を経ずに実装されるコードが増加しています。
    • さまざまなCI/CD自動化は効率を向上させますが、いったん固定されると想定外の未検証のコードによるリスクをもたらします。
  4. 「成長に向かって学習する組織」への志向
    • 経営者は、組織が常に進化し、新しい挑戦に対応できるように、学習と成長を続けることを望んでいます。
    • セキュア開発への取り組みは、顧客リスクによる損失を減らすためだけでなく、セキュリティ意識の向上や技術的なスキルを通じて組織全体の成熟度を高めます。

セキュアなシステム開発とハードニング、 「なにをどこまでやれば?」を解決する3つのゴールへのコンセプトは以下の3つです。

  1. 自社のビジネス継続にかかわるセキュリティリスクを理解できるようチームを助けること
  2. システムに内在するセキュリティリスクの現状を可視化し、改善への道筋を確立すること
  3. セキュリティレベルを実践する手立てを仕組みにする

動画資料

[実録] 超高速を求められるチームに必要なセキュリティとは/Checkmarxのアプローチ

対談「ソフトウェア開発の新時代:コード戦士たちのセキュリティ挑戦とSCWのトレーニング」

セキュア開発の導入戦略への、近道はあります。ロジカルかつ現実的に構築しましょう。

  • 組織面と取り組みを調べる

    セキュリティを組み込んだ開発の出発点は、プロジェクトのセキュリティ活動とリスク管理の現状を理解し、数値化してスコアリングすることです。このスコアリングは、データに基づく改善サイクルを実現するための基盤となります。まずは、組織全体で実行可能なリスク管理を明確にしましょう。OWASP SAMMは、ソフトウェア開発リスクの可視化、セキュリティ活動の評価、強化ロードマップ策定に有効なフレームワークです。これは、OWASPコミュニティによって開発され、あらゆる業種やプロジェクトに柔軟に適用可能なセキュリティ・ガバナンス・ツールです。

    – キーワード:OWASP SAMM,ガバナンス,トレーニング,インテリジェンス,ENISA脅威トレンド, IPA 情報セキュリティ10大脅威,OWASP Top 10, MITRE ATT&CK,業界ごとの、あるいは時節柄の攻撃キャンペーンを踏まえたリスクプロファイル

  • 技術面と潜在する脆弱性の問題を調べる

    セキュリティの組み込みにおける次の重要なステップは、技術的な側面と潜在的な脆弱性を徹底的に調査することです。適切に構築されたリスクプロファイルを基に、リスクに基づいた検査をデザインすることで、より具体的で実践的な改善提案を導き出すことが可能になります。このプロセスには、自社開発のソフトウェアだけでなく、オープンソースソフトウェア(OSS)を含む利用している全てのコンポーネントのソースコード分析が含まれます。

    – キーワード:総合的なセキュリティ脆弱性テスト, ソースコードとレポジトリの分析(SAST), ソフトウェアコンポジット分析(SCA), APIセキュリティテスト, デプロイ用コードや環境設定にかかわるテスト(IaC), そしてそれらを扱えるチームスキル

  • Asterisk MSSP – ベスト・オブ・ブリードなセキュア開発の必携ツールとサービス

    システム開発におけるセキュリティの実践は、まさに情報戦です。企業内部のリソースだけでは、この膨大なリスク情報を把握し、自社のソースコードやその他の情報リソースを分析することはほぼ不可能です。そのため、専門的な知識と技術を持つプロフェッショナルなサービスを活用することが不可欠です。これにより、最新情報に基づく、脆弱性発見手法を活用することができ、そして確実に対策を講じることができます。

    – キーワード:生産技術,品質保証,品質管理,PSIRT,コンプライアンス部門を助けるサービス。また業界固有の、あるいは顧客要件への対応を助ける MSSPやSaaSサービスの選択

一度、話しを聴いてみる 御社に効く第一歩のご提案をお出しします。

arrow_upward