シノプシス ソフトウェア・インテグリティ・グループはブラック・ダックになりました 詳細はこちら

ソフトウェア・アーキテクチャと設計の概要


ブラック・ダックのセキュリティ・リスク評価では、セキュリティコントロールの欠如または脆弱性を発見し、セキュアな設計のベストプラクティスを理解し、侵入リスクを高めるセキュリティの欠陥を低減するための支援を行います。

50%

設計の欠陥がセキュリティ・インシデントの原因に占める割合

アプリケーション設計にセキュリティを組み込む

ソフトウェアの開発およびリリースの早期化に対する圧力がこれまで以上に高まる中、ソフトウェア開発ライフサイクル(SDLC)の早期段階で対応すべきセキュリティコントロールへの対応が後手に回るケースが多く見られます。

設計段階でアプリケーションにセキュリティコントロールが組み込まれていない場合、次の問題が生じます。

  • 悪意のある攻撃者に対する防御の不備
  • 内外の脅威に対する防御の脆弱化
  • データ侵害などの有害な脅威イベントの発生確率の上昇

セキュリティ・インシデントを抑制するリスク評価方法

リスク評価によって以下のことが可能になります。

資産を洗い出す

ネットワーク、サーバー、アプリケーション、アーキテクチャ、データセンター、ツールなど、すべての外部資産および内部資産の関係を文書化します。

リスク・プロファイルを作成する

リスク・プロファイルを用いることで、資産ごとのリスク回避度またはリスク許容度を把握できます。

セキュリティコントロールを理解する

現在のセキュリティコントロール(アクセス制御、ファイアウォール、侵入検知、ウイルス対策など)および保存、送信、生成されるデータを資産ごとに把握できます。

対策に優先順位を付ける

リスクを格付けして事業への影響を評価し、修正計画に優先順位を付けます。

異なる視点からリスクを評価

脅威や弱点は、外部・内部の両面から、さまざまなシステム、人、プロセスを通じて発生し、その形態もさまざまです。アプリケーションが直面しているリスクを正確に把握するには、さまざまな角度から検討することが重要です。

SDLCの早期段階で設計上の欠陥を発見

API、クラウド・インフラストラクチャ、ホステッド型データセンターなど、外部の資産やコンポーネントに関する脅威モデルを作成することで、新しい攻撃形態を予測し、発生確率などの要素によってアプリケーション・リスクに優先順位を付けることができます。

アーキテクチャ・リスク評価では、脅威、内部資産、設計構造の相関関係をマッピングして解析することで、アプリケーションのアーキテクチャ全体に散在するシステムの欠陥を明らかにし、さらに深く掘り下げた評価を行います。

脅威モデリングとアーキテクチャ・リスク評価によってアプリケーションの設計を精査することで、従来のテスト方法では見落とされがちな設計上の欠陥をSDLCの早期段階で発見できます。

リスクを格付けして修正事項に優先順位付け

セキュリティ上のすべての欠陥を直ちに修正できると考えるのは非現実的です。そのため、リスクを格付けして該当するビジネスへの影響を把握することが重要です。

リスクに対する知見を得られれば、予算やリソースが限られている場合でも、優先順位に従って対策計画を作成し、リスクを低減できます。

コンプライアンス要件を遵守してデータを保護

機密情報や個人情報を作成、保存、送信する場合、特に重要性の高いデータの保護も確実に行う必要があります。

HIPAA、PCI-DSS、FISMAなどのコンプライアンス要件適合を目指す場合でも、データ・セキュリティのベストプラクティスの実装を考えている場合でも、リスク評価はデータを保護するための最高水準のセキュリティコントロールの実装に役立ちます。

関連コンテンツ