Microsoft、Security Development Lifecycleを強化（1/2 ページ）

アプリケーションを狙って止むことなく進化、悪性化するセキュリティ脅威に対して、MicrosoftはSecurity Development Lifecycle（SDL）の強化を図る。

[Darryl K. Taft，eWEEK]

　Microsoftは、アプリケーションライフサイクルの設計、開発フェーズにおいて、開発者がより優れたセキュリティ対策を施せるようにSecurity Development Lifecycle（SDL）を強化すると同時に、SDLの最適化モデル、SDLサービスプロバイダーネットワーク、そして脅威モデリングツールの提供を開始する。

　アプリケーションを狙って止むことなく進化、悪性化するセキュリティ脅威に対して、MicrosoftはSecurity Development Lifecycle（SDL）の強化を図り、周辺をサービス、サポート、ツールで固め、企業におけるより安全なアプリケーション構築を設計、開発段階から支援する。

　Microsoftのセキュリティエンジニアリング戦略担当上級ディレクター、スティーブ・リプナー氏によると、SDLはMicrosoftのソフトウェアと企業文化にセキュリティとプライバシーをもたらしたという。SDLはMicrosoftのソフトウェアセキュリティ保証プロセスであり、2004年以来、全社レベルのイニシアチブとして絶対的なポリシーになっている。その取り組みは、Windows VistaやSQL Serverといった主力製品のセキュリティ強化に役立ってきた。

　より安全な信頼できるコンピューティングエコシステムをサポートするコミットメントの一環として、Microsoftはすべての開発者にSDLプロセスガイダンス、ツール、トレーニングを提供する、とリプナー氏は強調する。コンピューティングエコシステムのセキュリティとプライバシーの向上を目指して、SDLのコンセプトをISVやパートナー、顧客と共有する狙いだ。それを実現する1つの方法として計画しているのが、新しいSDL Optimization Modelである。また、新しいSDLパートナープログラムや脅威モデリングツールもまもなく完成し、今年11月にはリリースする予定だ。

　「企業は開発段階でセキュリティにあまり関心を払わない」とリプナー氏は語る。「われわれはセキュリティへの配慮を開発段階にまで引き戻したいと考えている。バグや問題のフィックスは、製品が完成した後より、開発段階で行うほうがはるかに容易だ」

　MicrosoftはSDL Optimization Modelを企業に提供しようとしている。「SDL Optimization Modelは、企業がセキュリティプラクティスの実践を自己評価できるモデルだ」とリプナー氏。「この成熟したモデルを利用すれば、開発の現状や今後の方針に関してしっかりとした道筋が見えてくる」

　Microsoft SDL Optimization Modelは、Microsoft外部の開発組織に、段階的で一貫性のあるコスト効率に優れたSDLの実装を普及促進する目的で開発された。SDL Optimization Modelでは、組織のセキュリティレベルがBasic、Standardized、Advanced、Dynamicの4段階で表される。Basicレベルは受動的、Standardizedレベルは能動的、Advancedレベルは統合的、そしてDynamicレベルは専門的なセキュリティであることを意味する。

　さらにMicrosoft SDL Optimization Modelは、導入を促進するため、トレーニング/ポリシー/組織的能力、要件/設計、実装、検証、リリース/レスポンスの5つの機能エリアにグループ化され、ソフトウェア開発に関連する予算、企画、人事をそれぞれ支援する。

　一方、スタックを上り、アプリケーション層をうかがうセキュリティ脅威に対して、Microsoftはサービスプロバイダー各社の専門知識とSDLベストプラクティスを組み合わせたSDL Pro Networkを構築した。

　リプナー氏によると、SDL Pro Networkは、アプリケーションセキュリティの豊富な経験と専門知識を持ち、Microsoft SDLの手法と技術に精通したセキュリティサービスプロバイダーのグループだという。

　SDL Pro Networkが提供するサービスには、トレーニング、ポリシー、セキュリティトレーニングを含む組織的能力、リスク分析、機能的要件、脅威モデリングを含む要件と設計、安全なAPIの利用、コード分析、コードレビューを含む実装作業、ファジングとWebアプリケーションスキャニングを含む検証がある。

　SDL Pro Networkの初期メンバーには、Cigital、 IOActive、iSEC Partners、Leviathan Security Group、Next Generation Security Software、n.runs AG、Security Innovation、Security University、Verizon Businessなどが名を連ねている。「われわれの仕事のパートナーであり、信頼できるセキュリティベンダーのネットワークだ」とリプナー氏は説明する。

　Cigitalの代表でSDL Practice Managerのブライアン・ミゼル氏は次のように語る。

　「われわれにとってMicrosoftのSDL Pro Networkは、SDL関連の一貫したサービスを開発するために、他社のセキュリティ専門家と豊富な経験を生かして連携できる有益な仕組みだ。たとえ手法は違っても、われわれには教育やサービスの分野で、ソフトウェアセキュリティを通してクライアントの資産と名声を守るという共通の目標がある。そうした理念を推進するイニシアティブは、われわれの目指すべき方向への大きなステップだ」

　またn.runs AGのCTO、ジャン・ミュエンサー氏はこう指摘する。