セキュアなアプリケーション開発に求められる「4つの指標」とは?セキュアコーディングの極意【第6回】

セキュリティを意識したアプリケーション開発プロジェクトを進めるには、何を重視すればよいのか。プロジェクトを評価するための4つの指標と、リスク要因として懸念すべき事項を紹介する。

2023年08月24日 05時15分 公開
[Cliff SaranTechTarget]

 激化するサイバー攻撃に備えるために、アプリケーション開発プロジェクトのセキュリティ強化を検討するIT意思決定者は、何に取り組むべきなのか。

アプリケーション開発プロジェクトの現状が分かる4つの指標

 セキュリティとガバナンスを推進する非営利団体ISACAの取り組み「Emerging Trends Working Group」に参加するエド・モイル氏は、プロジェクトにおける4つの指標を評価することを勧める。以下の通りだ。

  1. 成熟度
    • 従業員が離職しても欠員を補充でき、結果の一貫性を保つことができるかどうかの指標。
  2. 透明性
    • プロジェクトが利用するライブラリ(プログラム部品群)のサプライチェーンの透明性を確保し、エンドユーザーにもその透明性を提供できるかどうかの指標。
  3. コンプライアンス
    • プロプライエタリかオープンソースかを問わず、開発中のアプリケーションが使うライブラリのライセンスがコンプライアンスを順守しているかどうかの指標。
  4. 簡潔性
    • アプリケーションが簡単に理解、評価できる設計かどうかの指標。

 「これら4つの指標は、アプリケーションセキュリティに影響を及ぼす可能性があり、実際に影響を及ぼす考慮事項の“氷山の一角”に過ぎない」とモイル氏は話す。アプリケーションの設計、開発、テスト、配備、保守、サポート、サポート終了といった一連の過程においてリスクをもたらし得る要素は以下の通りだ。

  • 目的との適合性
  • 設計の厳密性
  • 開発ツールやライブラリ(プログラム部品群)のサポート範囲
  • テスト範囲
  • ソースコードの品質
  • 市場投入までの時間

 アプリケーションのセキュリティは、開発チームや運用チームの考え方に即している必要がある。自動テストツールやAI(人工知能)技術を活用すれば、アプリケーションのバグは特定可能だ。だが新機能の追加やデータ配信、API(アプリケーションプログラミングインタフェース)の導入といった要素がセキュリティに与える影響も、率先して考慮しなければならない。

Computer Weekly発 世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。

ITmedia マーケティング新着記事

news102.jpg

矢野経済研究所「2024年版 デジタルコンテンツ市場動向調査」を実施
矢野経済研究所は、国内のデジタルコンテンツ市場を調査し、市場概況や主要企業動向を明...

news100.jpg

Salesforceの「Einstein Copilot」は他社のAIアシスタントと何が違うのか?
Salesforceが対話型AIアシスタント「Einstein Copilot(β版)」を日本市場で提供開始し...

news029.png

「サイト内検索」&「ライブチャット」売れ筋TOP5(2024年6月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。