お問い合わせ

セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(上)

 

現代社会、技術は急速な発展を続け、ビジネスや企業の在り方を含め、ソフトウェアの使用は私たちの生活を大きく変化させてきました。そのため、開発中のソフトウェアのセキュリティ確保は極めて重要なことです。しかし、多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。

米国標準技術局(NIST)により、 SDLC モデルにも統合し、高レベルの実践の中核となる一連の概要を示しました。SSDFに概説されているプラクティスに従うことで、組織は以下のことが可能になります。

  • リリースされたソフトウェアの脆弱性を減らすこと。
  • 脆弱性が悪用された場合の影響を最小化すること。
  • 将来再発を防止するために、悪用の根本原因を排除すること。

さらに、SSDF は、ソフトウェアのサプライチェーンに関連するリスクを管理し、セキュアなソフトウェア開発の原則により合致させるためのガイダンスを提供しています。このブログポストでは、SSDFの定義や使用対象などを説明します。

SSDFとは?

SSDF は、組織が安全なソフトウェアシステムを開発し、維持するのを支援するために NIST が作成したガイドです。NIST は、SSDF を簡潔に「安全なソフトウェア開発のための基本的で健全なプラクティスのセット」と説明ししても良いです。

SSDFは、既存のソフトウェア開発手法にセキュリティ対策を組み込むための構造化されたアプローチを確立し、それによって脆弱性を減らし、全体的なソフトウェアの品質と信頼性を向上させます。NIST は、確立された業界標準と既存のセキュアソフトウェア開発文書に基づいて SSDF を策定しました。

フレームワークは、ベストプラクティス、プロセス、および活動を SDLC に統合することによって、ソフトウエアセキュリティを強化することを目的としています。このフレームワークは、プロアクティブなセキュリティ対策、早期に脆弱性に対処すること、そして、組織で好まれている SDLC モデルに関係なく、シフトレフトのような原則によってセキュリティの文化を促進することに重点を置いています。

SSDF 使用対象

SSDFは、ソフトウェア開発における2つの異なるペルソナに利益をもたらすように設計されています:

  • ソフトウェア製作者
  • ソフトウェア取得者

規模、業種、成熟度に関係なく、SSDF は、ソフトウェアセキュリティの実践を強化し、信頼性が高く安全なソフトウェア製品の提供を確実にするためのガイダンスを提供します。

市販製品ベンダー、政府系ソフトウェア開発者、カスタムソフトウェア開発者、 社内開発チームなどのソフトウェア開発者は、SSDF を活用することで、セキュアなソフト ウェア開発手法を確立し、強化することができます。安全なソフトウエアの取得に優先順位をつけ、ソフトウエアの脆弱性やサプライチェーンの侵害に関連する潜在的なリスクを軽減するために、十分な情報に基づいた意思決定を行うことができます。

SSDFの公開

NIST がフレームワークを発行しており、NIST の Web サイトのコンピュータサイエンスリソースセンター(CSRC)で自由に入手できます。NIST はサイバーセキュリティの第一人者として広く認知されており、権威ある出版物の作成で高い評価を受けているため、フレームワークの正当性と信頼性が保証されています。

SSDFの維持方法

2022 年 2 月、NIST は SSDF の更新版(バージョン 1.1)を発行し、新たなセキュリティ慣行、進化する脅威、業界の進歩を取り入れ、変化し続ける状況における SSDF の妥当性を確保しました。更新された SSDF の変更点は、過去 3 年間だけでも攻撃が急激に増加しているソフトウェアのサプライチェーンを安全にすることの重要性を強調しています。

保守プロセスの一環として、NIST は利害関係者、業界の専門家、一般市民と協力し、フィードバックと洞察を収集しています。このフィードバックは、SSDFが進化するサイバーセキュリティの状況に沿ったものであることを保証するのに役立ちます。NIST は新たなセキュリティ慣行、脅威の進化、ソフトウェア開発分野の進歩を考慮した定期的なレビューも実施しています。

次回はSSDF について、 4 つのコアプラクティスグループ詳細、および、意図する成果既存のソフトウェア開発プロセスへの影響のについて説明します。是非お見逃しなく、ご覧ください。

出典:https://blog.sonatype.com/getting-started-with-the-secure-software-development-framework-ssdf

 

Sonatype は、多様なソフトウェア サプライ チェーンを持つ組織に最適です。セキュリティ、ライセンス、運用上のリスクも持ち込まれていなく、製品スイートを統合するためのリソースを持ち、あらゆる組織がリスク無しに継続的に活用できるように支援することに重点を置いており、その実現のために様々な製品群を開発しています。すべてのライブラリとソフトウェア サプライ チェーンを保護できる技術ことで自慢しています。

 

SON_Partner_Portal_Page_Gold_partner_badge@2x

DevSamuraiは、Sonatypeのゴールドパートナーとして日本国内で同社製品を販売し、インストール、設定、テクニカルサーポートなどの導入支援サービスを提供しています。


お問い合わせボタン1

前の投稿
サプライチェーン・セキュリティの内と外
次の投稿
セキュアソフトウェア開発フレームワーク(SSDF)の使用開始(下)
メニュー
This website stores cookies on your computer. These cookies are used to collect information about how you interact with our website and allow us to remember you. We use this information in order to improve and customize your browsing experience and for analytics and metrics about our visitors both on this website and other media. To find out more about the cookies we use, see our Privacy Policy.
If you decline, your information won’t be tracked when you visit this website. A single cookie will be used in your browser to remember your preference not to be tracked.
Ok