何年もの経験により、セキュリティ上の問題を引き起こすソフトウェアの不具合の約半分は、設計上の欠陥であることがわかりました。コードにセキュリティ上のバグがないかソフトウェアのテストを行ったり、アプリケーションのペネトレーション・テストを行うだけでは、攻撃に対する組織の脆弱性が解消されないまま、問題の約半数が見過ごされています。
アーキテクチャ・リスク分析(ARA)は、システムがセキュア設計の原則に従っていることを確認するための包括的なデザインレビューです。これにより、ソフトウェア開発ライフサイクル(SDLC)の早期段階でセキュリティの問題を見つけて修正できます。コードの記述やQAテストを実施した後でセキュリティの問題が見つかるよりも、低侵襲で、費用、時間を節約できます。また、アプリケーションの機能と攻撃ベクトルは絶えず進化しているため、たとえシステムがすでに構築またはデプロイされていても、ARAは大いに効果を発揮します。
設計のセキュリティに対応することにより、繰り返し発生する一般的なソフトウェアの不具合がコードに含まれないように設計できます。ARAの特長を以下にご紹介します。
脅威モデリングは、害を及ぼす可能性がある脅威エージェントの種類を特定します。悪意のあるハッカーの観点を導入して、どの程度の被害が起こり得るかを確認し、一般的で定型化された攻撃のリストに載っていない、新しい攻撃や以前には考慮されていなかった攻撃についても考察します。
脅威モデリングでは、全般的なアタックサーフェスを定義し、以下の情報を特定することができます。
リスク・プロファイルと許容範囲は組織によって異なるという認識から、お客様のニーズと予算に応じたアプローチをご用意します。ブラック・ダックの総合的なアプローチは次の2つの基本ステップで構成されています。
Black Duck Knowledge Baseは、関連するベストプラクティスと開発者およびセキュリティチャンピオンへの質問票で構成されます。ほんの一例として、APIセキュリティ、OAuth 2.0、OpenID、JWTセキュリティが挙げられます。
御社のセキュリティ管理策は業界のベストプラクティスにどの程度沿っていますか?,
主要なセキュリティ管理策の設計を業界のベストプラクティスとの比較により評価し、構成ミス、脆弱性、誤用、欠落が存在しないかを判断します。
ブラック・ダックのエキスパートが最大11の主要なセキュリティ管理策を審査し、ペネトレーション・テスト、DAST、SASTなどのアクティビティでは見つからないシステム不具合を発見します。