BT

CMMI開発で実現する設計レベルのセキュリティ

| 作者: Ben Linders フォローする 23 人のフォロワー , 翻訳者 吉田 英人 フォローする 0 人のフォロワー 投稿日 2013年12月2日. 推定読書時間: 2 分 |

原文(投稿日:2013/11/15)へのリンク

セキュアな製品開発を可能にするためには,ソフトウェア開発ライフサイクルのプロセス全般においてセキュリティ活動が実施される必要がある。"開発開始の時点からセキュリティを適切に考慮しておく必要があります。製品はその設計からセキュアでなくてはならないのです。" SiemensのWinfried Russwurm氏とLimes SecurityのPeter Panholzer氏は言う。氏らは SEPG Europe 2013カンファレンスで開催したワークショップでセキュリティ活動についての調査を実施し, Application Guide for Improving Processes for Secure Productsを公開している。

氏らはワークショップの参加者に対して,セキュリティを拡大し,よりセキュアな製品を作り出すために実施するべき開発アクティビティを考えるように求めた上で,挙げられたアイデアを次のように分類した。

組織:

  • セキュリティ専門家の手配
  • セキュリティに関する意識の向上と文化の確立
  • セキュリティトレーニングの提供
  • セキュリティポリシの確立と展開

要件

  • 利害関係者としてのハッカーの認識
  • セキュリティリスク分析の実施
  • ユーザストーリやシナリオなど,セキュリティ要件の定義

アーキテクチャ

  • インターフェース設計におけるセキュリティリスクの重視
  • セキュリティのためのアーキテクチャ規則とガイドライン
  • セキュリティのための実証済アーキテクチャの特定と適用

実装

  • セキュアなソフトウェア用のコーディング標準を適用
  • コードのセキュリティをチェックするツールの使用

テスト

  • セキュリティテストの立案と実施
  • セキュリティテストを自動化するツールの採用

ライフサイクル全般

  • セキュリティレビューや検証の実施
  • リスク評価を行うために,リスクソースとカテゴリの識別
  • 他の企業や地域社会から学んだ教訓の適用
  • セキュリティ問題に対処するためのソーシャルメディアポリシの確立

CMMIは今年始め,Application Guide for Improving Processes for Secure Productsを公開している。このアプリケーションガイドには技術のセキュリティ的側面,プロジェクトのセキュリティ管理,組織のセキュリティ的トピックといった,新たなプロセス領域に関する記述が含まれている。このガイドは,CMMI-DEV(Capability Maturity Model Integration for Development)と合わせて使用することで,プロセスの改善を実現し,採用する組織によるユーザへのセキュリティ保障を可能にする。

CMMI Instituteではガイドの著作者たちの協力の下,採用した組織からの意見や感想を幅広く求めている。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

あなたの意見をお聞かせください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする
コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

このスレッドのメッセージについてEmailでリプライする

ディスカッション

InfoQにログインし新機能を利用する


パスワードを忘れた方はこちらへ

Follow

お気に入りのトピックや著者をフォローする

業界やサイト内で一番重要な見出しを閲覧する

Like

より多いシグナル、より少ないノイズ

お気に入りのトピックと著者を選択して自分のフィードを作る

Notifications

最新情報をすぐ手に入れるようにしよう

通知設定をして、お気に入りコンテンツを見逃さないようにしよう!

BT