開発ライフサイクルが変わる
（2008/12/26公開）

実装は長期的な取り組み

　セキュリティーの実装は、あいにく、資金を拠出して出来の良い新ツールを展開すればいいだけの話ではありません。開発ライフサイクルを通じてコードの設計を改善し検証していくには、これまでの手順とやり方を周到に見直す必要があります。

　「当然ながら、すべてを上から管理するガバナンスのプロセスが必要です」とチェス氏は言います。「組織全体に影響することですから、適切な人材間のコミュニケーションと協力を確保しなくてはなりません」

　しかしながら、ガバナンス計画の実施には時間を要します。

　「一晩で変身できる人は、1人もいません」こう語るのは、セキュリティーを専門とする付加価値再販会社ディレクセックの社長、グレッグ・ハンチン氏です。「ちょっと出向いて、5年も10年も続けてきたコーディングに安全なプロセスを植え付けてくるわけにはいきません」

　「やり方を提案しましょう。まず、ハムスターが回す例の輪車を想像してください。そして、人材とプロセスとテクノロジーがいます。テクノロジーを輪車に乗せます。人材とプロセスの使命は、その輪車を回転させて、斬新的にソフトウエアを向上させることです。実際に有意な変化が生まれるまでには、おそらく2～3年かかると思ったほうがいいでしょう」

　一方で、発生し得る障害を低減できる近道が少なくともひとつあります。

　「私はモダンな開発フレームワークから着手する方法をお勧めします」グロスマン氏の意見です。「.NETやJ2EE（エンタープライズ向けJava 2プラットホーム）のような新しいフレームワークには、多くの場合、セキュリティーが始めから組み込まれています。正しく使えば、実に速くコードを－それも、安全なコードを－開発することが可能です」

認定試験

　「脅威に対する対応や障害が発生した後の事後措置として、ソフトウエアライフサイクルの最後でセキュリティーを追加するというケースが多過ぎます」インフォーメーションセキュリティーフォーラムの会長であり、(ISC)2の役員でもあるハワード・シュミット氏の警告です。(ISC)2は、情報セキュリティー専門家の教育と認定を行っている非営利のグローバル組織です。「基礎的なセキュリティー管理を備えていない新アプリケーションが日常的に開発され続けて、何千という脆弱（ぜいじゃく）性が存在している現実が無視されています」

　(ISC)2は、このような状況に何らかの手を打つつもりです。最近では「安全なソフトウエア開発の手法および専門技術の検証」を目的として、CSSLP（Certified Secure Software Lifecycle Professional）という新資格を設定しました。ソフトウエアのライフサイクルを通じて、セキュリティー問題に対応するためのベストプラクティス（最善の慣行）を確立し、専門家の能力を検証することが目標です。

　CSSLPはコード言語がニュートラルのため、アナリスト、デベロッパー、ソフトウエアのエンジニアやアーキテクト、プロジェクト管理者、ソフトウエア品質保証試験者、プログラマーなど、ソフトウエアのライフサイクルにかかわる人は誰でも適用することができます。試験範囲にはライフサイクルの脆弱性、リスク、情報セキュリティーの基本、コンプライアンスが含まれます。

　(ISC)2のエグゼクティブ・ディレクター、W. ホード・ティプトン氏は「セキュリティーの戦いで、第一線に立つのは人材です。CSSLPは、その人がソフトウエアサイクルを通じて、セキュリティーを実装し実行できるツールと知識を備えていることを保証するためのものです」と述べています。

Copyright © 2008 Ziff Davis Enterprise, Inc.
Originally appearing in the U.S. Edition of Baseline. All Rights Reserved.