アジャイル開発にセキュリティ対策を組み込む、マイクロソフトが「Security Development Lifecycle」の新版を公開

2009年11月11日はてなブックマーク del.icio.us Twitter
タグ : アジャイル開発 , セキュリティ

ソフトウェア開発の際に、仕様策定から実装、運用にいたるまで、あらゆる観点でセキュリティ対策を盛り込んでおくことは、特にWebアプリケーションにとって非常に重要なことです。これからさまざまなアプリケーションがクラウドに対応することを考えても、開発プロセスそのものにセキュリティ対策のこともきちんと組み込んでおくことが望まれます。

マイクロソフトは、OSやアプリケーションなど自社開発しているソフトウェアの開発プロセスにセキュリティ対策を組み込んでおり、そのガイドラインを「Microsoft Security Development Lifecycle」として公開していました。

下記の図がMicrosoft Security Development Lifecycleを示した図ですが、ここから分かるように、まず開発者のトレーニングから始まり、要求仕様、デザイン、実装といった各フェーズごとに何をしなければならないかが明確化され、これに沿って開発プロセスを進めていくことで、セキュアなソフトウェア開発が実現できる、というものです。

fig 従来のSecurity Development Lifecycle。ウォーターフォール型の開発を前提としていた

しかし、このSecurity Development Lifecycleは基本的にウォーターフォール型の開発プロセスを想定しており、反復型の開発プロセスであるアジャイル開発には対応していませんでした。

マイクロソフトでは社内でもすでにアジャイル開発の採用が進んでおり、今回新しく改訂されたSecurity Development Lifecycleでも、アジャイル開発に対応した内容が盛り込まれています。

Security Development Lifecycleをアジャイル開発に対応させるにあたり、どのような変更が行われたのでしょうか。ドキュメントの68ページから引用します。

If Agile practitioners are to adopt the SDL, two changes must be made.

アジャイルのプラクティス実践者がSDLを受け入れるために、2つの変更が行われなければならなかった。

First, SDL additions to Agile processes must be lean. This means that for each feature, the team does just enough SDL work for that feature before working on the next one.

1つは、SDLのアジャイルプロセスへの追加は無駄のないものであること。これはチームが、十分にSDLに関する作業を行ったうえで、次の作業に進めるようにするため。

Second, the development phases (design, implementation, verification, and release) associated with the classic waterfall-style SDL do not apply to Agile and must be reorganized into a more Agile-friendly format.

2つ目は、各開発フェーズ(デザイン、実装、確認、リリース)に関連する古いウォーターフォール型のSDLはアジャイル開発にそのまま応用できず、もっとアジャイル開発にフレンドリーな形式へと再構成されたということ。

To this end, the SDL team at Microsoft developed and put into practice a streamlined approach that melds agile methods and security--the Security Development Lifecycle for Agile Development (SDL-Agile).

つまりこれは、マイクロソフトのSDLチームがアジャイル方法論と融合した一連のプラクティス ― Security Development Lifecycle for Agile Development(SDL-Agile)、を開発したということだ。

fig アジャイル開発に対応したSecurity Development Lifecycle for Agile Development
Security Development Lifecycle

新しいガイドラインは、Security Development Lifecycleで公開されています。ドキュメントはワード形式で約170ページあり、Security Development Lifecycle for Agile Developmentについては68ページから詳しい解説が行われています。

また、このWebページには「Whitepaper: Security Considerations for Client and Cloud applications」や「Microsoft SDL team releases two security verification tools as FREE DOWNLOADS」などのセキュリティ関連のドキュメントやツールも公開されています。



次の記事≫ 「NoSQL」は「Not Only SQL」である、と定着するか?
前の記事≪ 「ライト、ついてますか」のワインバーグ氏、末期がんの治療に専念

Loading...

Blogger in Chief

photo of jniino Junichi Niino(jniino)
IT系の雑誌編集者、オンラインメディア発行人を経て独立。新しいオンラインメディアの可能性を追求しています。
詳しいプロフィール


Publickeyの新着情報をチェックしませんか?
Twitterで : @Publickey
RSSリーダーで : Feed
≫ 過去の記事を読む




アクセスランキング - 過去7日間

  1. IT系上場企業の平均給与を業種別にみてみた …
  2. IT系上場企業の平均給与を業種別にみてみた …
  3. Cassandra入門と、さらに詳しく知るた…
  4. SIerとパッケージベンダはどちらが高給? …
  5. ミクシィのNoSQLデータベース「Tokyo…
  6. 仮想化は、クラウドのインフラとしては不要では…
  7. Windows Azureも事実上、日本にデ…
  8. セキュリティを高めた「仮想化Firefox」…
  9. TwitterがBitTorrentで高速に…
  10. グーグル、「政府専用Google Apps」…
  11. アドビ「iPadでFlashアプリを動かす」…
  12. ITまんが 2010年版 ~ ITが楽しく分…
  13. 楽天、性能向上を分散オブジェクトキャッシュで…
  14. SQLの都市伝説。マイケル・ストーンブレイカ…

アーカイブ  (最新記事10)

バックナンバー

2010年7月
2010年6月
2010年5月
2010年4月
2010年3月
2010年2月
2010年1月
2009年12月
2009年11月
2009年10月
2009年9月
2009年8月
2009年7月
2009年6月
2009年5月
2009年4月
2009年3月
2009年2月






Trackbacks (TrackbackURL:http://www.publickey1.jp/mt/mt-tb.cgi/385)

  • (トラックバックは承認後に掲載されます)

Comments