アプリケーションセキュリティを強化する開発手法「セキュアコーディング」の実践には、何が必要なのか。開発プロジェクトを進める上で意識すべきことを、有識者が解説する。
コンサルティング企業Ernst & Young Global(以下、EY)は2023年4月、米国IT企業の責任者254人を対象に、企業のIT戦略に関するオンライン調査を実施した。その結果から見えてきたのは、サイバーセキュリティへの関心の高まりだった。
アプリケーションセキュリティを向上させる施策の一つが、開発の早期段階からセキュリティを意識する「セキュアコーディング」だ。どのようなものなのか。
セキュアコーディングの出発点は、アプリケーションの設計時にセキュリティを念頭に置くことだ。EYで西部地域担当サイバーセキュリティ責任者を務めるアヤン・ロイ氏は、「企業がアプリケーション開発においてセキュリティを考慮するようになってきた」と感じている。そうした企業の考え方を体現するのが、開発サイクルの終了後ではなく、要件定義や設計といった初期段階でセキュリティを組み込む開発手法「シフトレフト」だ。
シフトレフトにおいて、アプリケーション開発者は全てのソースコードの出どころが信頼できるソースかどうかを確認する必要がある。英国コンピュータ協会(BCS:British Computer Society)でボランティアとして働くペトラ・ウェナム氏によると、セキュアなアプリケーション開発には、アプリケーションの入力データに制限を設ける必要がある。条件を満たしていない入力データは、完全に破棄しなければならない。
こうしたチェックは、「バッファオーバーフロー攻撃」を抑えることにつながる。バッファオーバーフロー攻撃は、一時的な記憶領域である「バッファ」をあふれさせて、プログラムの不具合を引き起こす攻撃手法だ。攻撃者は、アプリケーションのデータ入力フィールドに膨大なデータを書き込むことで、バッファオーバーフローを引き起こすことができる。アプリケーションが入力データを検証しなければ、バッファオーバーフローが発生し、攻撃者が任意の操作を実行できるようになる恐れがある。
ウェナム氏は「アプリケーションが出力するデータは、アプリケーション本体からのみ出力されるようにすべきだ」と指摘。出力データの送信先は信頼できる宛先のみに限定したり、アプリケーション用に割り当てられないメモリを使用不可にしたりといった対処が必要だ。アプリケーションを実行するOSには、使用メモリを割り当て、メモリの状況を監視、制御する役割がある。あるアプリケーションに割り当て済みのメモリが、別のアプリケーションに使用されないように阻止しなければならない。「OSが実行を許可するアプリケーションは、認証済みのアプリケーションに限定する。未検証のアプリケーションは実行環境から切り離し、エラーを出力する措置が必要だ」(同氏)
次回は、セキュアコーディングの実践例を紹介する。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
ビジネスに生成AIを利用するのが当たり前になりつつある中、ローコード開発への活用を模索している組織も少なくない。開発者不足の解消や開発コストの削減など、さまざまな問題を解消するために、生成AIをどう活用すればよいのか。
システム開発を任されても、「何から始めたらよいのか分からない」という担当者は多いだろう。そこで本資料では、システム開発の流れや専門用語といった基礎知識を分かりやすく解説するとともに、システム開発の4つの手法を紹介する。
システムの不具合によるさまざまなリスクを回避するには網羅的なテストを行う必要があるが、自社で行うのは難しい。そこで活用したいのが外部のテスト専門会社だ。本資料ではテスト専門会社を活用するメリットや具体的な流れを解説する。
レガシーシステムからの脱却が叫ばれる中、「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増加している。その推進に当たっては、「Fit to Company Standard」の概念を頭に入れておくことが必要になる。
迅速なサービスの提供を実現する手段として、「ローコード開発×内製化」が注目されている。エンジニア不足の中でも、非IT部門が開発を担える点がその理由の1つだが、全てが順調に進むわけではない。失敗事例から得た2つの教訓を紹介する。
なぜ、「kintone」が大企業の「Fit to Standard」に効果的なのか (2025/3/7)
ノーコードは、負の遺産であるアナログ業務をなくせるのか (2024/11/12)
手間もコストもかかるGUIのテストはどうすれば自動化できるのか (2024/6/4)
「システム内製化」が失敗しがちなのはなぜ? “従来のやり方”では駄目な理由 (2024/5/15)
金融機関のモダナイゼーション 最適解に導くには (2024/3/29)
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...