セキュアなアプリケーション開発に求められる「4つの指標」とは？：セキュアコーディングの極意【第6回】

セキュリティを意識したアプリケーション開発プロジェクトを進めるには、何を重視すればよいのか。プロジェクトを評価するための4つの指標と、リスク要因として懸念すべき事項を紹介する。

[Cliff Saran，TechTarget]

　激化するサイバー攻撃に備えるために、アプリケーション開発プロジェクトのセキュリティ強化を検討するIT意思決定者は、何に取り組むべきなのか。

アプリケーション開発プロジェクトの現状が分かる4つの指標

　セキュリティとガバナンスを推進する非営利団体ISACAの取り組み「Emerging Trends Working Group」に参加するエド・モイル氏は、プロジェクトにおける4つの指標を評価することを勧める。以下の通りだ。

1. 成熟度
   • 従業員が離職しても欠員を補充でき、結果の一貫性を保つことができるかどうかの指標。
2. 透明性
   • プロジェクトが利用するライブラリ（プログラム部品群）のサプライチェーンの透明性を確保し、エンドユーザーにもその透明性を提供できるかどうかの指標。
3. コンプライアンス
   • プロプライエタリかオープンソースかを問わず、開発中のアプリケーションが使うライブラリのライセンスがコンプライアンスを順守しているかどうかの指標。
4. 簡潔性
   • アプリケーションが簡単に理解、評価できる設計かどうかの指標。

併せて読みたいお薦め記事

連載：セキュアコーディングの極意

• 第1回：セキュリティの“いたちごっこ”が終わらない現実
• 第2回：AIは「開発のテスト」をどう変える？　“単純作業の終わり”は基本の「き」
• 第3回：「シフトレフト」でセキュアコーディング　まずやるべき基本は？
• 第4回：リソース不足の開発チームが「成功を託した手法」はこれだ
• 第5回：「開発者だけで作るアプリケーション」が成功しにくい“当然の理由”

事例から開発手法を学ぶ

• システム開発で「あの工程を大幅削減」した銀行の先進事例は何がすごい？
• 銀行のシステム開発を「まるで別物」に変えたアジャイルな手法とは？

　「これら4つの指標は、アプリケーションセキュリティに影響を及ぼす可能性があり、実際に影響を及ぼす考慮事項の“氷山の一角”に過ぎない」とモイル氏は話す。アプリケーションの設計、開発、テスト、配備、保守、サポート、サポート終了といった一連の過程においてリスクをもたらし得る要素は以下の通りだ。

• 目的との適合性
• 設計の厳密性
• 開発ツールやライブラリ（プログラム部品群）のサポート範囲
• テスト範囲
• ソースコードの品質
• 市場投入までの時間

　アプリケーションのセキュリティは、開発チームや運用チームの考え方に即している必要がある。自動テストツールやAI（人工知能）技術を活用すれば、アプリケーションのバグは特定可能だ。だが新機能の追加やデータ配信、API（アプリケーションプログラミングインタフェース）の導入といった要素がセキュリティに与える影響も、率先して考慮しなければならない。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。