ソフトウェア・インテグリティ

 

時代を問わないソフトウェア・セキュリティの基本の真実

Michael HowardとSteve Lipnerの共著による、The Security Development Lifecycle (PDF)がオンラインで無料で利用できるようになったというMicrosoftの発表は2016年のことでした。Michael、Steve、およびMicrosoftによるコミュニティへのすばらしい貢献。 学問としてのソフトウェアとアプリケーションのセキュリティの継続的な成長は弛まず進んでいます。

彼らがSDLを開発していた頃に働くことができたのは幸運でしたし、たくさんの忘れられない思い出があります。特に私が驚いたのは、物事が変化すればするほど、変わらないものがあるというMichaelのメモでした。

実際、Michaelの思いは、詳細に引用するのに十分重要です:

その間に多くの変化がありましたが、単純な基本が依然として当てはまるのは驚くべきことです。
<中略>
確かに、この本では「IoT」や「クラウド」については言及されておらず、「モバイル」という言葉が言及されることはめったにありませんが、機能、脅威モデリング、および静的分析、バグバーなどの他の多くのコアSDLの信条が禁止されています。 ファジングテストと正しい暗号化設計— 3層のアプリケーションやウェブサイトと同じように、IoT、クラウド、モバイルに適用します。 たとえば、Microsoftは最近IoTセキュリティアーキテクチャに関する論文を発表しました。最初のセクションのタイトルは「セキュリティは脅威モデルから始まるのです」でした。

同じ問題が別の時代に

このコンセプトに対する私自身の表現は「同じ問題が別の時代に」であり、これらのトピック(IoT、モバイル、クラウドなど)で顧客と仕事をしたとき、ほぼ同じ感覚を経験しました。これらのことは実際には新しい機能を含んでいることを私は確かに認めますが、特にセキュリティは脅威モデルから始まるという考えに、単純な基本がどれほど適用されているか注目に値すると言えます。セキュリティの最初の一歩は、実際に何を保護しようとしているのか、どのように攻撃されているのか、どのように防御されているのかを理解することから始まるのです。

基本に立ち返る

残念ながら、今日でも、ソフトウェアとアプリケーションのセキュリティにおいて、根本的に根拠のあるものよりも浅慮で思いつくままに構成したアプローチが散見されます。私のお気に入りの継続的なテーマの1つは、基本に立ち帰れば、ソフトウェアとアプリケーションのセキュリティ問題は理解しやすくなるということです。彼らの本は、この時代を超越した真実をよりよく思い出させるものではありません。

セキュリティの基礎を学びたい人のためのトレーニング

 

この著者によるその他の情報