システム開発と運用におけるセキュリティーと「シフトレフト」の考え方

いつまでたっても一向に減らない情報の漏えい問題の原因は、どこにあるのでしょうか。また、実のところ、システム開発と運用では、どのようなセキュリティー対策が有効なのでしょうか。

大半の企業では「セキュリティーテストは受けている」とおっしゃることでしょう。しかし、システムリリース間際にテストを実施するだけで安全なシステムになるのでしょうか。

もちろん、誰も、問題のあるシステムを作りたくありませんが、セキュア開発スキルとツールの不足やスケジュールとコストの強いプレッシャーにより、脆弱性の徹底的な修正をあきらめ、セキュリティー問題がまだ残ったままシステムをリリースせざるを得ない開発チームもあるようです。

しかし忘れてはいけないことは、リリースした後で問題が発覚してからの対応では、修正するコストもリスクも高くなるということです。そこで、システム開発チームに必要なのは、リリース直前のテストよりも、むしろセキュリティー対策の「シフトレフト」です。これは開発プロジェクトを事後対応からかなりの程度、解放します。

今回は、このシステム品質確保の原則である「シフトレフト」とDevSecOps（セキュリティーをシステム開発と運用のプロセスに統合したアプローチ）の基本的な考え方をご紹介します。

セキュリティー確保には「実装段階」での対策が最も効果的

世界の開発企業の「アプリケーション・セキュリティーの重点は？」
（SANS Institute調べ）

アプリケーション・セキュリティー問題の原因は、設計ミスと、バグの2種類に分けられます。システムリスクの原因の85%が開発工程の構築段階に起因しています。ですから、この原因を開発工程のずいぶん後になってから修正すべきことに気がつくのか、それとも開発段階で気がつくのかで、対応に必要な時間とコストは大きく変わります。

実装段階にたった3分程度で済む確認を怠ることが、リリース前3日間のやり直しにつながることさえあります

世界で最も参照されているソフトウェアセキュリティー関連のドキュメントは、「OWASP Top 10」です。グローバルなオープンコミュニティであるOWASP (The Open Web Application Security Project)が提供する脆弱性についてのガイドブックです。このOWASPが提供する「Top 10 Proactive Controls」は事前の対策集と言えるものですが、このドキュメントで筆頭に挙げられる最も重要な項目は「早期に、繰り返しセキュリティーを検証すること」とされています。つまり、もっと早い段階（左側＝レフト）の対策をとれ、ということですから、これをセキュリティー対策の「シフトレフト」と呼んでいます。

アスタリスク・リサーチでは、2015年から、特にこの開発セキュリティー対策の「シフトレフト」を推進してきました。重要インフラ企業やトップ・ソフトウェアサービス企業において、いつでも参照できるEライブラリー、改善提案の充実したテストマネージドサービス、開発チームにとって便利なソースコードチェッカなどの製品・サービスを、この「シフトレフト」コンセプトで統合し、お役立ていただいています。

さて、次回の記事では、開発工程の各段階でのセキュリティー・チェックポイントをテーマに、事前対策として、具体的にどのような確認事項が必要なのかなど、開発現場を邪魔しないセキュリティーテストの取り組みについて共有したいと思います。

本記事へのご感想をお寄せください。また「シフトレフト」を一緒に推進したいという方、もちろん、システムのセキュリティー確保をご検討中の方はぜひ情報交換いたしましょう。シフトレフト推進担当のロバート・ドラーチャが喜んでご相談に応じます。よろしくお願いいたします。＜shiftleft@rsrch.jp＞