周辺的なセキュリティのみに頼っていては、アプリケーションのセキュリティは保てない。
企業の情報セキュリティ責任者は、保護しなければならないアプリケーションが実際どのように機能しているのかをきっちり理解していないことが多い。その結果、度を超したセキュリティコントロールが導入されたり、情報セキュリティが業務上のメリットどころか妨げになると見られがちな一因となる。一方で、開発者は時に、自分がアプリケーションに組み込みたいと思う機能がセキュリティ上どんな影響を与えるかを理解していない。
セキュリティ対使い勝手の問題を解決するため、ほとんどの情報セキュリティ関係者は、ソフトウェア開発ライフサイクルにおけるセキュリティを業界として強化する必要があるとの認識で一致している。このプロセスの一環として、多数の開発チームが脅威モデリングに着手している。
脅威モデリングによって開発者のセキュリティに対する意識が高まるだけでなく、アプリケーション設計と開発プロセスの一部としてアプリケーションセキュリティが組み込まれる。情報セキュリティ担当者と開発担当者の知識のギャップを埋める一助としても優れている。
脅威モデリングはアプリケーション設計の段階で実行され、アプリケーションにとってのリスクを発見・評価する。アプリケーションにとっての潜在的脅威を見つけるため、アプリケーションがどんな資産や重要情報にアクセスするかを分類することも、これに含まれる。結果として、リリースバージョンまで残ってしまう脆弱性の数が減らせれば理想的だ。また、ソフトウェア設計のライフサイクルが進むほどセキュリティ問題対応のコストもかさむため、脅威モデリングはより良い製品の開発と顧客のアプリケーションに対する信頼向上に役立つだけでなく、予算的にもメリットがある。
Copyright © ITmedia, Inc. All Rights Reserved.
エンジニア組織にとって開発の生産性を向上させることは重要な課題だ。しかし、「ボトルネックの特定が難しい」「変更のリードタイムが伸びている」などさまざまな課題が付いて回る。このような状況を解消するにはどうすればよいのか。
DXの推進が叫ばれる中、その中核を担うソフトウェア開発の現場では、IT人材不足をはじめとする5つの課題が顕在化している。それらを解消し、ソフトウェアの品質を高める方法として注目されるのが、ソフトウェアテストの外注だ。
ソフトウェア開発ではテストを、開発エンジニアが自ら担当するシーンが散見される。ただ、専門知見を持たない人材が我流でテストしていては、開発品質の担保が難しくなる。この問題の解決には第三者によるテストが重要だ。
業務システムの老朽化が進み、属人化やブラックボックス化が大きな問題となっている企業も少なくない。システム開発企業のシスラボは、同様の問題をノーコード開発ツールの導入と生成AIの活用で解決した。同社の取り組みを詳しく解説する。
深層学習の主要フレームワーク「PyTorch」と「TensorFlow」には複数の違いがある。自社プロジェクトに適したフレームワークを見極める上で欠かせない、それぞれの選択基準や設計思想、メリットとデメリットを取り上げる。
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年4月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
Cookieを超える「マルチリターゲティング」 広告効果に及ぼす影響は?
Cookieレスの課題解決の鍵となる「マルチリターゲティング」を題材に、AI技術によるROI向...
「マーケティングオートメーション」 国内売れ筋TOP10(2025年4月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
