ソフトフェア開発の安全性を確保する、ハイブリッドセキュリティの実装方法

　ソフトウェア開発では、セキュリティの問題点やリスク要因を早く発見し、それらを確実に除去するセキュリティ対策が極めて重要だ。こうした対策には、自社でセキュリティツールを導入する方法と、診断サービスを利用する方法の2つがある。

　自社対策は、問題の発見や除去が早い段階からでき、後の工程で増大する対応コストを最小化できる。外部診断は、自社対策だけでは発見できないセキュリティホールを発見できる利点がある。開発におけるセキュリティ対策を、より強固にするためには、このような両者のメリットを理解し、リスク内容に応じた適切な対策をすることが必要だ。そこで注目したいのが、自社対策と外部診断の両方を採用した“ハイブリッドなセキュリティ対策”だ。

　本資料では、実装からテストまでの各工程のセキュリティ対策と、顧客の要件や体制に応じたソリューションを紹介する。コーディング段階でのSAST（静的アプリケーションセキュリティテスト）、テスト段階でのファジング、リリース段階でのSBOM生成などを活用し、さまざまな診断サービス、ペネトレーションテストなどで、強固なセキュリティを実現するアプローチを、ぜひ確かめてほしい。