現代社会、技術は急速な発展を続け、ビジネスや企業の在り方を含め、ソフトウェアの使用は私たちの生活を大きく変化させてきました。そのため、開発中のソフトウェアのセキュリティ確保は極めて重要なことです。しかし、多くのソフトウェア開発ライフサイクル(SDLC)モデルは、ソフトウェアセキュリティに特に重点を置いていないです。堅牢なセキュリティ対策を確実にするため、既存の SDLC プロセスに加えて、安全なソフトウェア開発プラクティスやソフトウェアセキュリティフレームワークを追加する必要があります。
米国標準技術局(NIST)により、 SDLC モデルにも統合し、高レベルの実践の中核となる一連の概要を示しました。SSDFに概説されているプラクティスに従うことで、組織は以下のことが可能になります。
- リリースされたソフトウェアの脆弱性を減らすこと。
- 脆弱性が悪用された場合の影響を最小化すること。
- 将来再発を防止するために、悪用の根本原因を排除すること。
さらに、SSDF は、ソフトウェアのサプライチェーンに関連するリスクを管理し、セキュアなソフトウェア開発の原則により合致させるためのガイダンスを提供しています。このブログポストでは、SSDFの定義や使用対象などを説明します。
SSDFとは?
SSDF は、組織が安全なソフトウェアシステムを開発し、維持するのを支援するために NIST が作成したガイドです。NIST は、SSDF を簡潔に「安全なソフトウェア開発のための基本的で健全なプラクティスのセット」と説明ししても良いです。
SSDFは、既存のソフトウェア開発手法にセキュリティ対策を組み込むための構造化されたアプローチを確立し、それによって脆弱性を減らし、全体的なソフトウェアの品質と信頼性を向上させます。NIST は、確立された業界標準と既存のセキュアソフトウェア開発文書に基づいて SSDF を策定しました。
フレームワークは、ベストプラクティス、プロセス、および活動を SDLC に統合することによって、ソフトウエアセキュリティを強化することを目的としています。このフレームワークは、プロアクティブなセキュリティ対策、早期に脆弱性に対処すること、そして、組織で好まれている SDLC モデルに関係なく、シフトレフトのような原則によってセキュリティの文化を促進することに重点を置いています。
SSDF の使用対象
SSDFは、ソフトウェア開発における2つの異なるペルソナに利益をもたらすように設計されています:
- ソフトウェア製作者
- ソフトウェア取得者
規模、業種、成熟度に関係なく、SSDF は、ソフトウェアセキュリティの実践を強化し、信頼性が高く安全なソフトウェア製品の提供を確実にするためのガイダンスを提供します。
市販製品ベンダー、政府系ソフトウェア開発者、カスタムソフトウェア開発者、 社内開発チームなどのソフトウェア開発者は、SSDF を活用することで、セキュアなソフト ウェア開発手法を確立し、強化することができます。安全なソフトウエアの取得に優先順位をつけ、ソフトウエアの脆弱性やサプライチェーンの侵害に関連する潜在的なリスクを軽減するために、十分な情報に基づいた意思決定を行うことができます。
SSDFの公開
NIST がフレームワークを発行しており、NIST の Web サイトのコンピュータサイエンスリソースセンター(CSRC)で自由に入手できます。NIST はサイバーセキュリティの第一人者として広く認知されており、権威ある出版物の作成で高い評価を受けているため、フレームワークの正当性と信頼性が保証されています。
SSDFの維持方法
2022 年 2 月、NIST は SSDF の更新版(バージョン 1.1)を発行し、新たなセキュリティ慣行、進化する脅威、業界の進歩を取り入れ、変化し続ける状況における SSDF の妥当性を確保しました。更新された SSDF の変更点は、過去 3 年間だけでも攻撃が急激に増加しているソフトウェアのサプライチェーンを安全にすることの重要性を強調しています。
保守プロセスの一環として、NIST は利害関係者、業界の専門家、一般市民と協力し、フィードバックと洞察を収集しています。このフィードバックは、SSDFが進化するサイバーセキュリティの状況に沿ったものであることを保証するのに役立ちます。NIST は新たなセキュリティ慣行、脅威の進化、ソフトウェア開発分野の進歩を考慮した定期的なレビューも実施しています。
次回はSSDF について、 4 つのコアプラクティスグループの詳細、および、意図する成果と既存のソフトウェア開発プロセスへの影響のについて説明します。是非お見逃しなく、ご覧ください。
出典:https://blog.sonatype.com/getting-started-with-the-secure-software-development-framework-ssdf