「シフトレフト」でセキュアコーディング まずやるべき基本は?セキュアコーディングの極意【第3回】

アプリケーションセキュリティを強化する開発手法「セキュアコーディング」の実践には、何が必要なのか。開発プロジェクトを進める上で意識すべきことを、有識者が解説する。

2023年08月03日 05時15分 公開
[Cliff SaranTechTarget]

関連キーワード

アプリケーション開発 | 開発プロセス | プロジェクトマネジメント | セキュリティ対策


 コンサルティング企業Ernst & Young Global(以下、EY)は2023年4月、米国IT企業の責任者254人を対象に、企業のIT戦略に関するオンライン調査を実施した。その結果から見えてきたのは、サイバーセキュリティへの関心の高まりだった。

 アプリケーションセキュリティを向上させる施策の一つが、開発の早期段階からセキュリティを意識する「セキュアコーディング」だ。どのようなものなのか。

企業が目指すべき「シフトレフト」の基本

会員登録(無料)が必要です

 セキュアコーディングの出発点は、アプリケーションの設計時にセキュリティを念頭に置くことだ。EYで西部地域担当サイバーセキュリティ責任者を務めるアヤン・ロイ氏は、「企業がアプリケーション開発においてセキュリティを考慮するようになってきた」と感じている。そうした企業の考え方を体現するのが、開発サイクルの終了後ではなく、要件定義や設計といった初期段階でセキュリティを組み込む開発手法「シフトレフト」だ。

 シフトレフトにおいて、アプリケーション開発者は全てのソースコードの出どころが信頼できるソースかどうかを確認する必要がある。英国コンピュータ協会(BCS:British Computer Society)でボランティアとして働くペトラ・ウェナム氏によると、セキュアなアプリケーション開発には、アプリケーションの入力データに制限を設ける必要がある。条件を満たしていない入力データは、完全に破棄しなければならない。

 こうしたチェックは、「バッファオーバーフロー攻撃」を抑えることにつながる。バッファオーバーフロー攻撃は、一時的な記憶領域である「バッファ」をあふれさせて、プログラムの不具合を引き起こす攻撃手法だ。攻撃者は、アプリケーションのデータ入力フィールドに膨大なデータを書き込むことで、バッファオーバーフローを引き起こすことができる。アプリケーションが入力データを検証しなければ、バッファオーバーフローが発生し、攻撃者が任意の操作を実行できるようになる恐れがある。

 ウェナム氏は「アプリケーションが出力するデータは、アプリケーション本体からのみ出力されるようにすべきだ」と指摘。出力データの送信先は信頼できる宛先のみに限定したり、アプリケーション用に割り当てられないメモリを使用不可にしたりといった対処が必要だ。アプリケーションを実行するOSには、使用メモリを割り当て、メモリの状況を監視、制御する役割がある。あるアプリケーションに割り当て済みのメモリが、別のアプリケーションに使用されないように阻止しなければならない。「OSが実行を許可するアプリケーションは、認証済みのアプリケーションに限定する。未検証のアプリケーションは実行環境から切り離し、エラーを出力する措置が必要だ」(同氏)

 次回は、セキュアコーディングの実践例を紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

TechTargetジャパン トップ システム開発

新着ホワイトペーパー

製品資料 ServiceNow Japan合同会社

生成AIで「ローコード開発」を強化するための4つの方法

ビジネスに生成AIを利用するのが当たり前になりつつある中、ローコード開発への活用を模索している組織も少なくない。開発者不足の解消や開発コストの削減など、さまざまな問題を解消するために、生成AIをどう活用すればよいのか。

製品レビュー 発注ナビ株式会社

システム開発の4つの手法とは? システム開発の流れや専門用語を基礎から解説

システム開発を任されても、「何から始めたらよいのか分からない」という担当者は多いだろう。そこで本資料では、システム開発の流れや専門用語といった基礎知識を分かりやすく解説するとともに、システム開発の4つの手法を紹介する。

製品資料 株式会社AGEST

短納期化が進むシステム開発、なぜテストのアウトソーシングが増えているのか

システムの不具合によるさまざまなリスクを回避するには網羅的なテストを行う必要があるが、自社で行うのは難しい。そこで活用したいのが外部のテスト専門会社だ。本資料ではテスト専門会社を活用するメリットや具体的な流れを解説する。

製品資料 サイボウズ株式会社

レガシーシステムからどう脱却する? 今の時代の基幹システムの在り方

レガシーシステムからの脱却が叫ばれる中、「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増加している。その推進に当たっては、「Fit to Company Standard」の概念を頭に入れておくことが必要になる。

製品資料 株式会社ビルドシステム

「ローコード開発×内製化」失敗の理由とは? 3つの事例から得た2つの教訓

迅速なサービスの提供を実現する手段として、「ローコード開発×内製化」が注目されている。エンジニア不足の中でも、非IT部門が開発を担える点がその理由の1つだが、全てが順調に進むわけではない。失敗事例から得た2つの教訓を紹介する。

会員登録(無料)

8000点以上の技術資料や導入事例など、IT導入の課題解決に役立つ情報を入手できます。

アイティメディアからのお知らせ

From Informa TechTarget

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ

「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。

アクセスランキング

2025/07/08 UPDATE

  1. AIに頼むだけでプログラムができる「今どきのコーディング」の実力
  2. AI処理のボトルネックを解消する「次世代ストレージ」の条件とは?
  3. 「SDK」と「API」の違いとは? どう使い分ける?
  4. 「sudo」は“須藤”と読まないし「daemon」は“悪魔”じゃない 正解は?
  5. 非エンジニアでもプログラムを開発できる「夢のコーディング」の落とし穴
  6. いまさら聞けない「Apache HTTP Server」と「Apache Tomcat」の違いとは?
  7. URL命名規則「ケバブケース」「キャメルケース」「スネークケース」「スクリーミングスネークケース」の違いは?
  8. APIとは何か? Web APIとの違い、利用者のタスクを解説
  9. “高過ぎて売れない”「Apple Vision Pro」 廉価版が出ても苦戦しそうな理由
  10. なぜAI時代のストレージは“クラウド優勢”なのか?

プレミアムコンテンツ

Windows 10「なぜか遅い」はあれが原因だった?

Windows 10「なぜか遅い」はあれが原因だった? ダウンロード
» プレミアムコンテンツライブラリへ

ITmedia マーケティング新着記事

news017.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。

news027.png

「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。

news023.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...

ログイン
会員登録
パスワード再設定
よくあるご質問
TechTargetジャパンとは
お問い合わせ
広告掲載について
利用規約
サイトマップ
初めての方