ソフトウェア・セキュリティ対策はどの程度プロアクティブか?
プロアクティブなソフトウェア・セキュリティ対策は組織を守ります。ソフトウェア・セキュリティを測定していますか? 12問のクイズで確認してください。
残念ながら、ソフトウェアはハッキングされるものです。攻撃者がソフトウェアをハッキングするために利用する欠陥や脆弱性は、組織内部をはじめ、ベンダーやパートナーによってもたらされる可能性があります。
しかし、幸い、これらの欠陥や脆弱性を解決するためのよく知られている修正方法があります。ソフトウェア・セキュリティ対策(SSI)が成熟している組織は、基本的な「ペネトレーション・テストとパッチ」のアプローチ以上のプロセスとガイダンスを用意しています。これらのプロセスは欠陥が生じることをある程度阻止し、リリースの直前または後になってからではなく、開発中に欠陥を修正する予防的アプローチに役立ちます。
では、御社のソフトウェア・セキュリティ対策はどうでしょうか。ソフトウェア・セキュリティをどのような方法で評価していますか?
以下の質問は、セキュア開発成熟度モデル(BSIMM:Building Security In Maturity Model)をモデルにして、実際の対策に見られる12の最も一般的なソフトウェア・セキュリティ・アクティビティに焦点を当てています。その内容はクラスルームや会議の机上で思いついたものではなく、セキュリティを価値のある投資と考えている企業が実際に実践しているものです。クイズに答えて、自社のソフトウェア・セキュリティ対策の基本的な評価尺度を確立してください。
クイズ:ソフトウェア・セキュリティ対策をどのように測定していますか?
1. プライバシー保護義務
組織ではプライバシー保護義務に関する分析を行っています か?
プライバシーは注目のトピックです。個人識別情報(PII)に該当するデータを収集するかしないかの決定は重大な、意味を持つ可能性があります。特定の情報を入手することにより、組織がより大きなリスクにさらされることがあります。
BSIMM10の参加企業の86%がPIIの義務を認識し、PIIに関するベストプラクティスを定義しています。
2. 組み込みのセキュリティ機能
組織は組み込みのセキュリティ機能のリポジトリを管理していますか?
問題の中には、解決策を共有できるものがあります。一定の時間が経つと、標準的な問題については、チームや組織は社内で構築したか、統合された商用オフザシェルフ(COTS)であるかを問わず、標準的なソリューションで解決するようになります。
BSIMM10の参加企業の80%は、開発者が利用できる事前承認されたソリューションを用意しています。
3. セキュリティ機能の障害
アプリケーションを設計する際、アプリケーションのセキュリティ機能にどのようにエラーが生じる、またはバイパスされる可能性があるかをチームでレビューしていますか?
セキュリティ機能はツールであり、くぎを打つハンマーであって、あなたの親指を簡単につぶすこともできます。開発チームとセキュリティ対応のアーキテクトは、使用するセキュリティ機能を攻撃者が簡単に回避できないようにする必要があります。
BSIMM10の参加企業の84%がセキュリティ機能のエラーや不適切な実装の可能性についてレビューを行っています。
4. SDLCのセキュリティ・チェックポイント
組織のSDLCにソフトウェア開発プロジェクトのセキュリティ・チェックポイントが含まれていますか?
開発者は、テストがいつ行われるかがわかれば、より適切な準備ができます。組織は、ソフトウェアをセキュアに開発していることを確認するために、開発の定期的な段階でテストを実行する必要があります。
BSIMM10の参加企業の88%が、SDLC中にセキュリティゲートを設定し、セキュリティ関連のアーチファクトをチェックしています。
5. 機能テストその他
組織は標準的な機能テスト以上の対策を行っていますか?
セキュアなソフトウェアは高品質のソフトウェアです。想定外の動作が発生したときにアプリケーションがどのように応答するかをテストすることは、攻撃者が不安定な動作を利用してアプリケーションに侵入する可能性を防ぐための第一歩です。
BSIMM10の参加企業の82%が、QAがエッジ/境界値条件試験に沿っていることを確認しています。
6. ペネトレーション・テスト
外部ペネトレーション・テスターを使用するか、アプリケーションを送信して外部レビューを行っていますか?
優れた外部ペネトレーション・テスターはハッカーと同様の方法でアプリケーションにアプローチします。サードパーティーのエキスパートを導入することで、テストの取り組みに新しい専門知識と公平な視点を取り入れることができます。
BSIMM10の参加企業の89%は、外部ペネトレーション・テスターをある程度使用しています。
7. 欠陥の追跡
組織には、ペネトレーション・テストで見つかった欠陥を追跡するシステムがありますか?
最近では、開発者は自動化されたチケット作成ワークフローに慣れてきました。すべての仕事と生産性はチケットを介して駆動されます。PDFレポートを発行する代わりに、開発者自身のチケットシステムを介して所見や欠陥をプッシュする組織が増えています。
BSIMM10の参加企業の77%が、ペネトレーション・テストの結果を不具合管理および低減システムにフィードバック反映しています。
8. 運用で見つかった欠陥
運用チームがセキュリティ上の欠陥を開発者に報告する正式な方法がありますか?
完璧な人はいません。開発チームと運用チームの間に良好なコミュニケーションフローを設けることは、すべての保護対策をすり抜けたバグのループを閉じる優れた方法です。
BSIMM10の参加企業の83%は、セキュリティ上の欠陥を開発者に伝達し、プロセスを改善するためのオープンなコミュニケーションチャネルを備えています。
9. 運用上の修正の追跡
組織は、運用で見つかったバグを修正プロセス全体で追跡していますか?
多くの開発者の日常的な活動を駆動するチケットベースのワークフローのもう1つの利点は、同じチケットシステムを介して欠陥を追跡すれば、自動欠陥追跡システムとして運用およびアプリケーション・セキュリティ・チームが組織内のセキュリティの問題の状態を確認できることです。
BSIMM10の参加企業の72%は、運用環境で検出されたバグを修正プロセスで追跡しています。
10. 環境のコンフィグレーション
組織は、アプリケーション・ホスト環境のコンフィグレーションがセキュアであることを確認していますか?
ネットワークとホストをセキュリティで保護しても完全なセキュリティ・ソリューションにはなりませんが、インフラストラクチャとサーバーがセキュリティで保護されていなければ、思いもよらない方法でハッカーがアプリケーションにアクセスすることを可能にします。サーバー、ネットワーク、およびその他のインフラストラクチャが防御レベルを強化するための承認された環境とコンフィグレーション・ガイドラインに従っていることを確認してください。
BSIMM10の参加企業の91%がサーバーとネットワークのコンフィグレーションを分析し、コンフィグレーション・レベルで脆弱性を防いでいます。
11. インシデント対応
組織はインシデント対応計画を用意していますか?
組織にDevOpsの文化が育っていない場合でも、開発チームと運用チームの間のコミュニケーションと連携を強化することにより、あらゆる種類のインシデントに迅速かつ効果的に対応する能力を向上させることができます。
BSIMM10の参加企業の84%がインシデント対応の作成または調整を行っています。
12. 緊急時の備え
組織は緊急時にアプリケーションを迅速に更新できますか?
攻撃のニュースが注目されるようになり、PCI DSSなどの基準への違反に対する罰金が増える一方の状況にあって、既存の計画でインシデントに対応できるようにしておくことは、即座に対応する必要があるアドホックな方法よりも迅速かつスムーズなリスク緩和につながります。
BSIMM10の参加企業の75%が緊急時のコードベースの対応方法を準備しています。
ソフトウェア・セキュリティをどのように測定していますか?
子どもを育てるのに村が必要であるように、ソフトウェア・セキュリティのような創発的な資産を実現するには、組織全体の力が必要です。ちょっとした変更と保護措置により、ソフトウェア・セキュリティをあらゆる段階で向上させることができます。すべてのアクティビティがすべての組織に適しているわけではありませんが、簡単に対処できる未知のリスクにさらされないようにするためには、これらのアクティビティのほんのいくつかでも実行する必要があります。BSIMMを利用すると、組織のソフトウェア・セキュリティを、100を超える他の組織と比較して測定できるため、現状を把握し、次の進路を計画することが可能になります。
この投稿は2015年10月19日に発表され、2019年9月30日に更新されています。
