- 当社のソリューション
テクノロジーアドバイザリー
めまぐるしく変化する世界をナビゲートする
クラウドエンジニアリング
スケールとスピードで変革する
データソリューション
データの未開拓の可能性を実現する
AI・機械学習
データ資産を活用する
アプリケーション・エンジニアリング
デジタル投資を最適化し、成長させる
保守・サポート
エンドツーエンドのアプリケーション管理
ビジネスプロセスソリューション
ビジネスプロセスを管理し、オペレーションコストを削減する
品質ソリューション
お客様のシステムおよびソフトウェアの独立したテスト
デジタルエクスペリエンスプラットフォーム
最適な顧客体験を実現するためにデジタル資産を再設計する
- インダストリー
- 私たちの考え方
私たちの考え方
ビジネスにおいて最も重要な問題について、将来を見据えた組織を支援する最新のアップデート。
ニュース
NashTechのニュースやアナウンスメントの最新情報をお届けします。
インサイト
NashTechとお客様から得た最新の専門知識とソートリーダーシップ
デジタル・リーダーシップ・レポート
テクノロジー・リーダーシップに関する最新の世界最大かつ最も長期にわたる調査からの知見を探る
- 事例紹介
- 会社概要
会社概要
NashTechの特徴を知るリーダーシップ
NashTechの多彩なリーダーシップチーム
Nash Squared
グローバルなプロフェッショナル・サービス組織で、3つの主要分野に注力している。
ベトナム360
NashTechのベトナムオフィスの360度全方位バーチャルツアーをご体験ください。
企業の社会的責任と持続可能性 (ESG
環境、社会、政府へのコミットメントをご覧ください
ダイバーシティインクルージョン
多様性、平等、インクルージョンを企業文化に組み込む
拠点一覧
当社のグローバルオフィスと卓越したイノベーションセンターをご覧ください
- 日本語
セキュア・バイ・デザイン」といえば
聞こえはいいが、どうすればいいのだろう?
セキュア・バイ・デザイン」は、ソフトウェア・システムのセキュリティを確保するための主流のアプローチになりつつある。 セキュリティの確保には、セキュリティ・テストをソフトウェア開発手法の一部とすることが必要である。 ここでは、NashTechのセキュリティ・コンサルタント、ヒエン・トリンが、セキュリティ・テストの実際について議論し、NashTechが最新のソフトウェア開発手法にどのようにセキュリティ・テストを組み込んでいるかを見ていく。
ソフトウェア工学における「セキュア・バイ・デザイン」とは、ソフトウェアが基礎からセキュアに設計されていることを意味する。 セキュア・バイ・デザインは、ソフトウェア・システムのセキュリティとプライバシーを確保するための開発手法の主流になりつつある。 しかし、ソフトウェア設計に組み込まれたセキュリティが効果的であることを確認するためには、ソフトウェア開発アプローチに沿ったセキュリティテストを実施する必要がある。
ソフトウェア・テストにおいて、セキュリティ・テストはどのような位置づけにあるのだろうか?
ソフトウェアの機能テストは、リスク、要件、ユースケース、モデルなど、さまざまな要素に基づいて行われる。 セキュリティ・テストは、これらの要素のセキュリティの側面に基づいているが、さらに、セキュリティ・リスク、セキュリティの手順と方針、攻撃者の行動、既知のセキュリティの脆弱性を検証し、妥当性を確認することも目的としている。
したがって、アプリケーション・セキュリティ・テストを単に配備前のチェックポイントにするという従来のアプローチは、実際には意味をなさない。 分析とテストの過程で発見された脆弱性や弱点に、タイムリーかつ費用対効果の高い方法で対処するのは難しいからだ。
もちろん、セキュリティ・テストは、ソフトウェア・システムやそれを使用する組織が攻撃から安全であることを保証するものではない。 しかし、できることは、リスクを特定し、既存のセキュリティ防御の有効性を評価することである。
全体的な視野に立つ
人、プロセス、テクノロジーは、完全なITソリューションを提供する「鉄の三角形」とみなされることが多い。 この3つの領域はすべて、セキュリティも含め、ITデリバリー全体に影響を与える:
- 人 各人には異なるスキルレベル、態度、意図があり、それらすべてが、セキュリティが各人にどのような影響を与えるか、また、セキュリティ管理の有効性にどのような影響を与えるかに影響する。 だからこそ、誰もがセキュリティについて十分に認識し、教育を受けることが重要なのだ。
- プロセス プロセスは、セキュリティ関連サービスを含む IT サービスの提供方法を定義する。 セキュリティの文脈では、プロセスには、貴重な資産を保護するために実施される手順や基準が含まれる。 効果的であるためには、プロセスが定義され、最新で一貫性があり、セキュリティのベストプラクティスに従っていなければならない。
- 技術 テクノロジーには、組織を自動化またはサポートする設備、機器、ハードウェア、ソフトウェアが含まれる。 テクノロジーは、繰り返しの多い仕事を、手作業で行うよりも速く、ミスを少なくするのに役立つ。 リスクは、間違った使い方をすれば、テクノロジーは単に人々のミスをより速くする手助けをしてしまうということだ。
ソフトウェア開発ライフサイクル全体を通じたセキュリティ・テスト
NashTech では、ソフトウェア開発ライフサイクル (SDLC) 全体を通してセキュリティを考慮し、セキュリティ要件が確実に実装されるようにしています。 そのため、セキュリティ・テストはすべてのライフサイクル・フェーズに組み込まれている。
私たちは、以下のマッピングが示すように、各フェーズでセキュリティを保証するために異なる方法論と技術(レビュー、分析、テスト)を使用します。
要求分析
- 組織のセキュリティコンプライアンスの観点から、ビジネス要件、セキュリティ目標、目的を理解し、分析する。
- プロジェクトに適用するセキュリティ標準とベストプラクティスに合意する。
- セキュリティ要件と悪用/誤用事例をレビューする。
建築デザイン
- アプリケーションで使用される標準的な技術やフレームワークを確認する。
- 標準的な技術やフレームワークを使用する際のセキュリティリスクを検討し、必要であれば調整する。
- プロジェクトに適したセキュリティ設計原則を検討し、それに従う。
コーディングとユニットテスト
コードレビュー時にセキュアコーディングプラクティスのリストを使用し、開発者やソフトウエア自体が確立されたセキュリティ手法やベストプラクティスに従っているかどうかを判断する。
システムテスト
- 最終目標環境の近似値でセキュリティテストを実施する。
- 侵入テストによって、セキュリティ要件がシステムの観点から正しく実装されていることをテストする。
ユーザー受け入れテスト
システムが実環境においてユーザーのニーズを満たしていることを検証する。 これには、セキュリティ要件が正しく実装され、満たされていることの確認も含まれる。 このフェーズまでに、ほとんどのセキュリティテストはすでに実施されているはずであるが、ビジネスプロセスレベルで発生するセキュリティシナリオをテストする機会はまだ残っている。
配備
コンフィギュレーションをチェックし、対象環境のセキュリティ・コンフィギュレーションが正しいことを確認する。
メンテナンス
専門家に侵入テスト、脆弱性スキャン、パッチの影響分析を実施させる。 欠陥の修正や機能追加のために加えられた変更をテストし、システムに新たな脆弱性が導入されていないことを確認することに重点が置かれる。
一回で終わり」ではない
留意すべき重要な点は、セキュリティ・リスク評価は、ある時点のスナップショットに過ぎないということである。 新たな脅威が日々出現しているため、セキュリティ・リスクは組織内やプロジェクトごとに常に変化している。 アプリケーションも時間とともに変化する。
したがって、セキュリティリスク評価は、プロジェクトとそのプロジェクトが経験する変化の度合いに応じて異なるが、定期的な間隔で実施すべきである。
NashTechがお手伝いできること
セキュリティは、現代のアプリケーション開発において非常に重要な側面である。 多くのお客様のプロジェクトを成功に導いてきた経験から、安全で高性能なソフトウェアを提供するために何が必要なのかを洞察することができました。
私たちは、OWASPトップ10をセキュリティテスト基準の中核として使用しています。 また、すべてのセキュリティ基準がすべての状況に適用されるわけではないため、私たちは各プロジェクトやクライアント固有の要件を理解し、それらに適したアプローチをとるようにしています。
もっと知りたいですか?
ソフトウェア・テスト・サービスの詳細については、sales.japan@nashtechglobal.comまでお問い合わせください。
おすすめ記事
大手デジタル広告サービスとの1年にわたるRPAの旅を垣間見る
大手デジタル広告サービス・ソリューションプロバイダーの1年にわたるRPAの旅と、NashTechがどのように彼らを支援したかをご紹介します。
デジタル棚の分析をサポートし、eコマースの成長を引き出す
NashTechがどのようにデジタル棚の分析を支援し、世界有数のデータ洞察とeコマースソリューションプロバイダーと成長を解き放つかをご覧ください。
- トピックス