2023年08月17日 05時15分 公開
特集/連載

「開発者だけで作るアプリケーション」が成功しにくい“当然の理由”セキュアコーディングの極意【第5回】

アプリケーション開発を進める上で、設計段階からセキュリティを確保する「セキュアコーディング」には、ステークホルダーの協力が不可欠だ。どのような人を巻き込むべきなのか。

[Cliff SaranTechTarget]

 凶悪化するサイバー脅威に備える上で、セキュアなアプリケーションを開発するにはどうすればよいのか。有効な手法が、開発の早期段階からセキュリティを意識する「セキュアコーディング」だ。

 セキュリティとガバナンスを推進する非営利団体ISACAの取り組み「Emerging Trends Working Group」に参加するエド・モイル氏によると、アプリケーションが十分な安全性を確実に確保するには、ステークホルダーを巻き込むことが欠かせない。具体的にどういうことなのか。

なぜ開発者だけのプロジェクトは成功できないのか?

 アプリケーション開発に携わるステークホルダーは、開発プロセスへの参加方法や受けたトレーニング、意識の度合いなどが異なる。そうした違いは、プロジェクトにリスクを持ち込んだり、あるいはリスクを低減したりする可能性がある。「可能な限りプロジェクトに携わる全ステークホルダーの懸念を考慮して、アプリケーションのリスクを削減、管理、軽減するように設計する必要がある」とモイル氏は助言する。

 モイル氏はIT部門の責任者に対して、リスク軽減を支持するステークホルダーが求める対策の強化を推奨する。コーディングは、アプリケーションのセキュリティ対策全体の一部に過ぎない。アプリケーションの開発およびリリース段階では、コーディングが最も目立つ手順だと言える。「だがコーディングだけを重視すべきではない。リスク管理の取り組みは、開発サイクル全体で実施しなければならない」(同氏)

 アプリケーション開発プロジェクトのセキュリティ責任者は、開発サイクル全体を総合的に理解した上で、責任を持つことが重要だ。その上でさまざまなステークホルダーと接触することをモイル氏は推奨する。開発プロセス以外の関係者も考慮して、プロジェクトを推進しなければならない。具体的には以下の関係者の代表者を選び、開発チームと一体になって、アプリケーションのセキュリティ向上に取り組む必要がある。

  • テスト担当者
  • ビジネスアナリスト
  • プロジェクトマネジャー
  • プロダクトマネジャー
  • サポートチーム
  • 営業部門
  • マーケティング部門
  • 人事部門
  • 法務部門

 次回は、アプリケーションのセキュリティ向上を図るために、IT意思決定者が実施すべき取り組みを紹介する。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news180.jpg

電通「2023年 日本の広告費」 総広告費、インターネット広告費は2年連続で過去最高に
電通が「2023年 日本の広告費」を発表しました。主なトピックスを抜粋して紹介します。

news041.jpg

2024年の広告業界大予測(無料eBook)
Forrester Researchは2024年を「大手メディアが活気を取り戻す瞬間」としています。マー...

news196.jpg

アニメ世界の「ワクドナルド」が公式に McDonald'sが日本人アーティストのAcky Bright氏と始めたこと
McDonald'sがアニメやマンガでよく描かれる「WcDonald's(ワクドナルド)」をオマージュ...