「開発者だけで作るアプリケーション」が成功しにくい“当然の理由”：セキュアコーディングの極意【第5回】

アプリケーション開発を進める上で、設計段階からセキュリティを確保する「セキュアコーディング」には、ステークホルダーの協力が不可欠だ。どのような人を巻き込むべきなのか。

[Cliff Saran，TechTarget]

　凶悪化するサイバー脅威に備える上で、セキュアなアプリケーションを開発するにはどうすればよいのか。有効な手法が、開発の早期段階からセキュリティを意識する「セキュアコーディング」だ。

　セキュリティとガバナンスを推進する非営利団体ISACAの取り組み「Emerging Trends Working Group」に参加するエド・モイル氏によると、アプリケーションが十分な安全性を確実に確保するには、ステークホルダーを巻き込むことが欠かせない。具体的にどういうことなのか。

なぜ開発者だけのプロジェクトは成功できないのか？

併せて読みたいお薦め記事

連載：セキュアコーディングの極意

• 第1回：セキュリティの“いたちごっこ”が終わらない現実
• 第2回：AIは「開発のテスト」をどう変える？　“単純作業の終わり”は基本の「き」
• 第3回：「シフトレフト」でセキュアコーディング　まずやるべき基本は？
• 第4回：リソース不足の開発チームが「成功を託した手法」はこれだ

事例から開発手法を学ぶ

• システム開発で「あの工程を大幅削減」した銀行の先進事例は何がすごい？
• 銀行のシステム開発を「まるで別物」に変えたアジャイルな手法とは？

　アプリケーション開発に携わるステークホルダーは、開発プロセスへの参加方法や受けたトレーニング、意識の度合いなどが異なる。そうした違いは、プロジェクトにリスクを持ち込んだり、あるいはリスクを低減したりする可能性がある。「可能な限りプロジェクトに携わる全ステークホルダーの懸念を考慮して、アプリケーションのリスクを削減、管理、軽減するように設計する必要がある」とモイル氏は助言する。

　モイル氏はIT部門の責任者に対して、リスク軽減を支持するステークホルダーが求める対策の強化を推奨する。コーディングは、アプリケーションのセキュリティ対策全体の一部に過ぎない。アプリケーションの開発およびリリース段階では、コーディングが最も目立つ手順だと言える。「だがコーディングだけを重視すべきではない。リスク管理の取り組みは、開発サイクル全体で実施しなければならない」（同氏）

　アプリケーション開発プロジェクトのセキュリティ責任者は、開発サイクル全体を総合的に理解した上で、責任を持つことが重要だ。その上でさまざまなステークホルダーと接触することをモイル氏は推奨する。開発プロセス以外の関係者も考慮して、プロジェクトを推進しなければならない。具体的には以下の関係者の代表者を選び、開発チームと一体になって、アプリケーションのセキュリティ向上に取り組む必要がある。

• テスト担当者
• ビジネスアナリスト
• プロジェクトマネジャー
• プロダクトマネジャー
• サポートチーム
• 営業部門
• マーケティング部門
• 人事部門
• 法務部門

---

　次回は、アプリケーションのセキュリティ向上を図るために、IT意思決定者が実施すべき取り組みを紹介する。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。