情報セキュリティの重要性がますます高まっている中、脆弱性管理の重要性も急速に認識されるようになってきました。特にソフトウェア開発において、脆弱性は早期に発見・対応されるべき重要な課題です。しかしながら、脆弱性管理がソフトウェア開発ライフサイクル(SDLC: Software Development Life Cycle)全体で一貫して実施されているケースはまだまだ少なく、その結果、リリース直前もしくはリリース後の脆弱性対応に多大なコストやリソースが費やされることも少なくありません。今回は脆弱性管理とSDLCの関係について掘り下げ、効果的なセキュアSDLCと脆弱性管理を実現するためのポイントを紹介します。
脆弱性管理( vulnerability management)について、ウィキペディア(Wikipedia)では、以下としています。
『ソフトウェアの脆弱性を「識別、分類、優先順位付け、修正、および軽減する循環的な慣行」のこと。不可欠である』
システムが脆弱性に該当するか・その場合の対応の要否をより短く実行するため、効率的な脆弱性管理は以下のプロセスが必要とされます 。
| プロセス | 概要 |
|---|---|
| 1.資産情報の把握 | 構成情報や設計書、ツールによるスキャンなどを通じて組織内のすべてのIT資産を把握します。 |
| 2.脆弱性情報の収集 | 組織内資産に関係する脆弱性情報を収集します。 |
| 3.脆弱性の検知 | システムに対してスキャンを行い、脆弱性を検知します。 |
| 4.リスク評価 | 脆弱性の影響やシステムの重大性などから、自システムへの対応の優先順位を決定します。 |
| 5.報告 | リスク評価後、脆弱性とそのリスクについて関係者に報告を行います。対応是非の判断情報となります。 |
| 6.循環プロセスの確立 | 脆弱性対応後も引き続き脆弱性がないか再評価し、システム全体を監視します。サイクルとして継続し、迅速な報告へ至る体制を維持します。 |
SDLCは、ソフトウェアが企画段階から廃止に至るまでの一連のプロセスを体系化したものであり、以下のフェーズで構成されます。
| 1.企画 | ソフトウェアの目標や要求を明確にし、開発計画を立案します。 |
|---|---|
| 2.設計 | ソフトウェアのアーキテクチャや機能設計を行います。 |
| 3.開発 | 設計に基づいてソフトウェアを実装します。 |
| 4.テスト | ソフトウェアが設計通りに機能するか、バグがないかを検証します。 |
| 5.リリースとデプロイ | ソフトウェアを実環境に展開し、ユーザーに提供します。 |
| 6.運用と保守 | ソフトウェアの運用中に発生する問題の対応や、必要に応じた機能追加や修正を行います 。 |
多くの組織において、脆弱性管理はSDLCの後半、特にテストや運用フェーズで集中的に行われる傾向があります。システム内のインベントリを正確に管理できずにこのアプローチを進めると、脆弱性を持つシステムを正確に把握できない恐れがあります。また、脆弱性が発見された場合、リリーススケジュールにも大きな影響を及ぼすリスクがあります。もしそれが運用フェーズで発見された場合、すでに利用されているシステムへのパッチ適用や緊急対応が必要となり、サービスへの影響が大きくなる可能性もあります。
脆弱性の発見から修正までのプロセスが遅れると、攻撃者に悪用されるリスクが高まります。このため、脆弱性管理をSDLCの初期段階から実施し、インベントリの把握と継続した監視をサイクル全体通して管理することが不可欠です。
SDLC全体にセキュリティを統合する「セキュアSDLC(Secure SDLC)」を導入することで、効果的な脆弱性管理を実現します。ソフトウェア開発ライフサイクル (SDLC) の各フェーズにセキュリティ対策・管理を組み込み、ソフトウェアの企画から運用・保守に至るまで一貫してセキュリティ管理を行うためのアプローチです。
以下に、各フェーズにおける具体的な対策を示します 。
| 1.企画フェーズ | プロジェクトの目的や要求事項と並行してセキュリティ要件を明確に定義します。 |
|---|---|
| 2.設計フェーズ | システム全体のアーキテクチャ設計や機能設計と並行してセキュリティの観点から設計の妥当性を確認し、潜在的な脆弱性を排除します。 |
| 3.開発フェーズ | コードの実装とともに、セキュアコーディングガイドラインに従い、またセキュリティレビューを定期的に行います。 |
| 4.テストフェーズ | セキュリティテストを行い、セキュリティ要件を満たしていることを確認します。 |
| 5.リリースとデプロイフェーズ | リリース前の最終確認としてセキュリティチェック、また運用中のセキュリティモニタリング体制を整備します。 |
| 6.運用と保守フェーズ | 継続的な脆弱性管理を実施し、脆弱性の早期発見、迅速な脆弱性対応の判断と実施をします。 |
脆弱性管理はソフトウェア開発において極めて重要な要素であり、SDLCをセキュアに維持していくために必要な施策です。セキュアSDLCおよび、初期からの脆弱性管理へシフトし、信頼性の高いシステムを安定的に維持してください。
