以下の内容はhttps://infomation-sytem-security.hatenablog.com/entry/ccsp-secure-software-7-touchpointsより取得しました。

CCSPの「セキュアソフトウェアの7つのタッチポイント」を解説|ソフトウェア開発のセキュリティを全方位から考える

CCSP セキュリティ技術解説
プロフィールアイコン

筆者名:城咲子(じょう せきこ)

情報システム部でセキュリティを担当している城咲子です。セキュリティに関する情報や日常の出来事(グチやボヤキ笑)などを発信していきます。(情報処理安全確保支援士/登録セキスペ/CISSP)

\ 好きなことば /

  • 最小権限の原則
  • 測定できなければ管理できない!
  • 失敗する可能性のあるものは、いずれ失敗する。

詳しいプロフィールはこちら

開発ライフサイクルにセキュリティを組み込む重要性

私はセキュリティ担当者として、アプリケーション開発におけるセキュリティ確保の重要性を日々痛感しています。

多くの組織では、セキュリティは開発の最終段階で行う「おまけ」や「お守り」のように考えられがちです。しかし、それでは手遅れになることがほとんどです。クラウドセキュリティの専門家を認定する**CCSP(Certified Cloud Security Professional)**試験では、この問題に対する明確な答えとして、「セキュアソフトウェアの7つのタッチポイント」というフレームワークが提唱されています。

これは、開発ライフサイクル(SDLC)の各フェーズでセキュリティを確保するための、包括的かつ実践的な7つのポイントです。今回は、それぞれのタッチポイントについて、私の視点から詳しく解説します。

1. コードレビュー(Code Review)

コードレビューは、開発者が書いたソースコードを他の開発者やセキュリティ専門家が確認するプロセスです。単純なバグを見つけるだけでなく、セキュリティ上の欠陥を早期に発見する上で非常に重要です。

  • 手動レビュー: 経験豊富な開発者やセキュリティ担当者が、ロジックの脆弱性や不正な入力の処理方法などを確認します。
  • 自動レビュー: 静的解析ツール(SAST)を使用して、既知の脆弱性パターン(SQLインジェクション、XSSなど)を機械的に検出します。

2. リスク分析(Architectural Risk Analysis)

これは、開発の初期段階、つまり設計フェーズで実施される最も重要なタッチポイントの一つです。脅威モデリングとも呼ばれ、攻撃者の視点に立って、設計上の潜在的なリスクを洗い出します。

  • リスク特定: アプリケーションの構成要素、データの流れ、信頼境界などを図示し、どこに脅威が存在するかを分析します。
  • 対策決定: 特定した脅威に対して、どのようなセキュリティ対策を講じるべきかを設計段階で決定します。

3. 侵入テスト(Penetration Testing)

多くの人が「セキュリティテスト」と聞いて最初に思い浮かべるのがこれかもしれません。システムが稼働している状態で、実際に攻撃を試みて脆弱性を発見するテストです。

  • 目的: システムの防御策がどれだけ機能するかを評価します。
  • 注意点: 侵入テストはあくまで最終的な確認作業であり、これだけでセキュリティが保証されるわけではありません。他のタッチポイントと組み合わせて実施することで、真の効果を発揮します。

4. セキュリティ要件(Security Requirements)

セキュリティ要件は、アプリケーションの機能要件と並行して、開発の初期段階で定義されるべきものです。これは、セキュアなシステムを構築するための土台となります。

  • 具体例:
    • パスワードは最低12文字で、複雑なルールを適用する。
    • 機密データはAES-256で暗号化する。
    • 不正アクセスを検知した場合、アカウントをロックアウトする。

5. 脆弱性評価(Vulnerability Assessment)

これは、自動ツールを使ってシステム全体に既知の脆弱性が存在しないかを網羅的にスキャンするプロセスです。

  • 侵入テストとの違い: 侵入テストが「攻撃者の視点」で深く掘り下げるのに対し、脆弱性評価は「網羅的なチェックリスト」のように、広範囲にわたる既知の弱点を発見します。

6. 不正利用ケーステスト(Abuse Case Testing)

不正利用ケーステストは、開発者が「ユーザーはこう使うだろう」と想定する通常のテスト(ユースケーステスト)とは逆のアプローチです。

  • 視点: 攻撃者や悪意のあるユーザーがどのようにシステムを悪用するかを想定し、そのシナリオに基づいてテストケースを作成します。
  • 例:
    • 認証情報なしでAPIにアクセスを試みる。
    • ログイン後にURLのパラメータを不正に変更し、他人の情報にアクセスを試みる。

7. セキュリティ教育(Security Education & Training)

これは、7つのタッチポイントの中で最も基本的な、そして最も重要な要素かもしれません。開発に関わるすべての人が、セキュリティの知識を身につけることが不可欠です。

  • 対象: 開発者、テスター、プロジェクトマネージャー、デザイナーなど、全員が対象です。
  • 内容: セキュアコーディングのベストプラクティス、最新の脅威動向、組織のセキュリティポリシーなど。

まとめ:総合的な取り組みこそが成功の鍵

CCSPが提唱するこれらの7つのタッチポイントは、それぞれが独立した活動ではありません。これらを連携させ、開発ライフサイクルの各段階にシームレスに組み込むことによって、初めて強固なセキュリティ体制を築くことができます。

私はこれらのタッチポイントを実践することで、より安全なソフトウェアを構築できるだけでなく、開発チーム全体のセキュリティ意識が向上するのを目の当たりにしてきました。セキュリティは一部の専門家だけの責任ではなく、チーム全員の責任なのです。



以上の内容はhttps://infomation-sytem-security.hatenablog.com/entry/ccsp-secure-software-7-touchpointsより取得しました。
このページはhttp://font.textar.tv/のウェブフォントを使用してます
不具合報告/要望等はこちらへお願いします。
モバイルやる夫Viewer Ver0.14