ソフトウェア開発ライフサイクルにおいて、リスクを削減、管理するために「セキュアコーディング」に取り組むことは重要だが、その方法を誤解してはいけない。コーディング以外にも注意すべきこととは。
「セキュアコーディング」は、ソフトウェアの安全を確保する上で欠かせない取り組みだ。だが文字通り「セキュリティを意識したコーディング」を指すと考えるのは誤りだ。セキュアなソフトウェアを実現するには、ソフトウェア開発とリスク管理のプロセス全体において、セキュリティを確保するための取り組みを実施することが鍵となる。前編「『セキュアコーディング』に取り組んでもセキュアにならない本当の理由」は「セキュア」という言葉の本質を探った。次に注目するのは「コーディング」という言葉だ。
もちろん、コーディングは重要だ。だが「セキュリティ」と同様に、コーディングはソフトウェア開発の大きな要素だとしても、ソフトウェア開発ライフサイクルの一部に過ぎない。セキュアコーディングにおけるコーディングは何を目指すのかを考えるには、ソフトウェアをどう設計するのか、どれほどの手順を費やすのかといったことを念頭に置く必要がある。ソフトウェア開発ライフサイクル(SDLC)は大まかには以下の手順を踏む。
各手順はさらに下位手順に細分化される。例えば「テスト」の段階では、以下をはじめとする個別テストを実施する。
これらの手順のうち、コーディングだけに関係する手順と、コーディングとは無関係でも堅牢(けんろう)なソフトウェアを開発する上で欠かせない手順はそれぞれどれだけあるだろうか。つまりソフトウェア開発プロセスの各段階において、各関係者が実行するプロセス、受けたトレーニング、持っている意識といったさまざまな要因によって、リスクが増減する可能性は大いにある。リスクを管理、軽減した設計のソフトウェアを開発するには、これらの要因全てを考慮して、リスクの低減という成果を得るための行動を関係者に促さなければいけない。コーディングはソフトウェア開発プロセスにおいて目立つ手順だが、それだけを重視すべきではないということだ。
これまでの話をまとめると、ソフトウェアのリスク管理では、ソフトウェア開発ライフサイクル全体を扱う必要があると言える。そのためには2つのことを実施しなければならない。1つ目は、ライフサイクル全体を総合的に理解して考慮すること。2つ目は、開発以外の領域でも関連領域を対象として計画を立てることだ。以下に示す領域を取り込んで、それぞれの代表者を選任し、メンバーとチームが一体となってソフトウェアのセキュリティを向上させることが重要になる。
リスクとは、ソフトウェア開発プロセス全体の影響を受けるものであり、従来のセキュリティ対策で重視しがちだった領域よりも広い領域に影響が及ぶ。「目的は手段を正当化しない。その理由は単純かつ明白だ。使う手段によって結果の性質が決まるためだ」――。作家のオルダス・ハクスリー氏は、著作『Ends and Means』でそう述べた。言い換えると、何かをする方法によって最終的な状態が決まるということだ。この考え方をソフトウェア開発に当てはめると、まとまりがなく未熟でぞんざいな開発プロセスに従うと、規律が取れた堅牢な開発プロセスに従う場合に比べ、粗悪な設計かつ粗末な実装のソフトウェアが生み出されることになる。セキュアコーディングを実現するには、「セキュア」を上回る目標を定め、「コーディング」だけではなく開発プロセス全体を考慮する必要がある。
米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
DXが進み、レガシーシステムからの脱却が喫緊の課題となっている今。「ERP×ノーコードツール」のアプローチで基幹システムの刷新に取り組む企業が増えている。そのアプローチを推進するに当たってのポイントを解説する。
DXの本質は、デジタル技術を駆使して変化に適応する能力を身につけることにある。その手段の1つとして注目を集めているのが、ローコード/ノーコード開発ツールだ。京王グループなどの事例とともに、その特徴やメリットを紹介する。
DX人材の重要性が高まる中、ノーコードツールの活用によって業務改革と人材育成を両立しようとする動きが活発化している。年間約780時間の工数削減を実現した京セラをはじめとする5社の事例を基に、その実態を探る。
急速に進化するデジタル技術は、製造業などのものづくりの現場にもさまざまな恩恵をもたらしている。しかし、設備点検業務や棚卸業務などの立ち仕事や移動が多い現場では、いまだにアナログ業務が残存し、効率化の妨げとなっているという。
あらゆる業界でDXの重要性が増しているが、工場や倉庫の中にはデジタル化が後回しにされている隙間業務が多数ある。その理由を明らかにした上で、それらの業務をモバイルアプリでデジタル化し、現場DXを推進する9社の事例を紹介する。
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
