CWE、OWASP、CERTを活用した早期セキュリティ対策　コーディング標準の導入方法

　セキュリティ対策の観点から、ソフトウェア開発ライフサイクルの初期段階におけるテストの重要性が高まっている。従来のセキュリティテストの大半は開発ライフサイクルの後期に行われるものだが、脆弱性に迅速・柔軟かつ低コストで対処するためにもテスト作業のシフトレフトが求められているということだ。

　その点から注目されるのが、セキュアコーディングの取り組みだ。開発初期から品質の高いコードを作成することで、コードが堅牢（けんろう）になり、セキュリティも高まる。その際に参照できる、数多くのセキュアコーディング標準やセキュリティ規格が存在する。

　コーディング標準は、品質とセキュリティを担保するベストプラクティスを体現している。本資料では、CWE、OWASP、SEI／CERTといった明示的なコーディング標準、UL 2900、GDPR、HIPAAなどの暗黙的なコーディング標準について詳しく解説する。その上で、自社に適したコーディング標準の選び方や、現実的な導入・実装方法を紹介。さらに、各種コーディング標準やセキュリティ規格に沿ったコーディングができているかチェックするための静的解析ツールも紹介している。