「開発者だけで作るアプリケーション」が成功しにくい“当然の理由”セキュアコーディングの極意【第5回】

アプリケーション開発を進める上で、設計段階からセキュリティを確保する「セキュアコーディング」には、ステークホルダーの協力が不可欠だ。どのような人を巻き込むべきなのか。

2023年08月17日 05時15分 公開
[Cliff SaranTechTarget]

 凶悪化するサイバー脅威に備える上で、セキュアなアプリケーションを開発するにはどうすればよいのか。有効な手法が、開発の早期段階からセキュリティを意識する「セキュアコーディング」だ。

 セキュリティとガバナンスを推進する非営利団体ISACAの取り組み「Emerging Trends Working Group」に参加するエド・モイル氏によると、アプリケーションが十分な安全性を確実に確保するには、ステークホルダーを巻き込むことが欠かせない。具体的にどういうことなのか。

なぜ開発者だけのプロジェクトは成功できないのか?

 アプリケーション開発に携わるステークホルダーは、開発プロセスへの参加方法や受けたトレーニング、意識の度合いなどが異なる。そうした違いは、プロジェクトにリスクを持ち込んだり、あるいはリスクを低減したりする可能性がある。「可能な限りプロジェクトに携わる全ステークホルダーの懸念を考慮して、アプリケーションのリスクを削減、管理、軽減するように設計する必要がある」とモイル氏は助言する。

 モイル氏はIT部門の責任者に対して、リスク軽減を支持するステークホルダーが求める対策の強化を推奨する。コーディングは、アプリケーションのセキュリティ対策全体の一部に過ぎない。アプリケーションの開発およびリリース段階では、コーディングが最も目立つ手順だと言える。「だがコーディングだけを重視すべきではない。リスク管理の取り組みは、開発サイクル全体で実施しなければならない」(同氏)

 アプリケーション開発プロジェクトのセキュリティ責任者は、開発サイクル全体を総合的に理解した上で、責任を持つことが重要だ。その上でさまざまなステークホルダーと接触することをモイル氏は推奨する。開発プロセス以外の関係者も考慮して、プロジェクトを推進しなければならない。具体的には以下の関係者の代表者を選び、開発チームと一体になって、アプリケーションのセキュリティ向上に取り組む必要がある。

  • テスト担当者
  • ビジネスアナリスト
  • プロジェクトマネジャー
  • プロダクトマネジャー
  • サポートチーム
  • 営業部門
  • マーケティング部門
  • 人事部門
  • 法務部門

 次回は、アプリケーションのセキュリティ向上を図るために、IT意思決定者が実施すべき取り組みを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news136.jpg

「Vポイント」「Ponta」と連携したCTV向けターゲティング広告配信と購買分析 マイクロアドが提供開始
マイクロアドは、VポイントおよびびPontaと連携したCTV向けのターゲティング広告配信を開...

news105.jpg

Netflixの広告付きプランが会員数34%増 成長ドライバーになるための次のステップは?
Netflixはストリーミング戦略を進化させる一方、2022年に広告付きプランを立ち上げた広告...

news094.png

夏休み予算は平均5万8561円 前年比微減の理由は?――インテージ調査
春闘での賃上げや定額減税実施にもかかわらず、2024年の夏休みは円安や物価高の影響で消...