セキュアな製品開発を可能にするためには,ソフトウェア開発ライフサイクルのプロセス全般においてセキュリティ活動が実施される必要がある。"開発開始の時点からセキュリティを適切に考慮しておく必要があります。製品はその設計からセキュアでなくてはならないのです。" SiemensのWinfried Russwurm氏とLimes SecurityのPeter Panholzer氏は言う。氏らは SEPG Europe 2013カンファレンスで開催したワークショップでセキュリティ活動についての調査を実施し, Application Guide for Improving Processes for Secure Productsを公開している。
氏らはワークショップの参加者に対して,セキュリティを拡大し,よりセキュアな製品を作り出すために実施するべき開発アクティビティを考えるように求めた上で,挙げられたアイデアを次のように分類した。
組織:
- セキュリティ専門家の手配
- セキュリティに関する意識の向上と文化の確立
- セキュリティトレーニングの提供
- セキュリティポリシの確立と展開
要件
- 利害関係者としてのハッカーの認識
- セキュリティリスク分析の実施
- ユーザストーリやシナリオなど,セキュリティ要件の定義
アーキテクチャ
- インターフェース設計におけるセキュリティリスクの重視
- セキュリティのためのアーキテクチャ規則とガイドライン
- セキュリティのための実証済アーキテクチャの特定と適用
実装
- セキュアなソフトウェア用のコーディング標準を適用
- コードのセキュリティをチェックするツールの使用
テスト
- セキュリティテストの立案と実施
- セキュリティテストを自動化するツールの採用
ライフサイクル全般
- セキュリティレビューや検証の実施
- リスク評価を行うために,リスクソースとカテゴリの識別
- 他の企業や地域社会から学んだ教訓の適用
- セキュリティ問題に対処するためのソーシャルメディアポリシの確立
CMMIは今年始め,Application Guide for Improving Processes for Secure Productsを公開している。このアプリケーションガイドには技術のセキュリティ的側面,プロジェクトのセキュリティ管理,組織のセキュリティ的トピックといった,新たなプロセス領域に関する記述が含まれている。このガイドは,CMMI-DEV(Capability Maturity Model Integration for Development)と合わせて使用することで,プロセスの改善を実現し,採用する組織によるユーザへのセキュリティ保障を可能にする。
CMMI Instituteではガイドの著作者たちの協力の下,採用した組織からの意見や感想を幅広く求めている。