アプリケーションセキュリティ
セキュアソフトウェア開発ライフサイクル(SSDLC)
別称: SSDLC, セキュア開発ライフサイクル
定義
要件・設計・実装・テスト・リリース・運用といったソフトウェア開発の各フェーズにセキュリティ活動を組み込んだライフサイクル。
SSDLC は、セキュリティを一度きりの監査ではなく、ソフトウェアデリバリ全体に組み込む枠組みを定義します。代表的なフェーズには、セキュリティ要件、脅威モデリング、セキュアアーキテクチャレビュー、セキュアコーディング規約、コードレビュー、SAST、SCA、DAST/IAST、ペネトレーションテスト、リリースゲート、ランタイム監視が含まれます。Microsoft SDL、OWASP SAMM、NIST SSDF などのフレームワークが実践内容と成熟度レベルを示します。利点は予測可能なリスク低減で、脆弱性は修正コストが安いうちに検出・修正され、コンプライアンスのエビデンスは通常の開発活動の副産物として得られます。
例
- プロダクト組織全体に Microsoft SDL のプラクティスを導入する。
- AppSec の成熟度評価モデルとして OWASP SAMM を採用する。
関連用語
アプリケーションセキュリティ(AppSec)
ソフトウェアのライフサイクル全体を通じて、悪用・改ざん・不正アクセスに耐えられるように設計・構築・テスト・運用する分野。
DevSecOps
セキュリティの責任を DevOps のワークフローに組み込み、安全なソフトウェアを継続的かつ高速に提供するための文化とプラクティス群。
シフトレフトセキュリティ
セキュリティ活動をソフトウェアライフサイクルの早い段階に前倒しし、コードが本番に到達する前に脆弱性を発見・修正する取り組み。
脅威モデリング
資産・脅威・脆弱性・対策を体系的に分析し、セキュリティを後付けではなく設計段階から組み込むための構造化された手法。
Secure Coding
Secure Coding — definition coming soon.
Security Requirements
Security Requirements — definition coming soon.