セキュリティー インテリジェンス センター

Navigation
セキュア開発ライフサイクル
製品のセキュリティーを向上させる 6 つの実践項目
  • セキュア開発ライフサイクル

    ジュニパーのセキュア開発ライフ サイクル(SDL)は、セキュアで耐障害性の高い製品を開発するためのプロセスです。 ジュニパーの SDL プログラムは 6 つの主要な実践項目で構成されています。

実践項目 1: セキュアなコーディングのトレーニング

セキュアなコーディングのトレーニングは、セキュア開発ライフ サイクルの導入における最初のステップです。 ジュニパーのソフトウェア デベロッパーは、全員がこのトレーニングを受ける必要があります。このトレーニングは、耐障害性の高いソフトウェアを構築する基礎となります。 トレーニングは複数のコーディング言語で行われ、デベロッパーは適切なコースを受講できます。

セキュアなコーディングのトレーニングでは、セキュアなコーディング、セキュアな設計、セキュアなテスト、およびプライバシーに関する基礎概念を扱います。

ソフトウェア開発に関与するすべての人が、ソフトウェア製品のセキュリティーに関する責任を負うとジュニパーは考えています。 この中には、マネージャー、プログラム マネージャー、テスト担当者、IT 担当者が含まれます。 この考え方に基づき、セキュア開発ライフサイクルのトレーニングは、すべての従業員が対象で、1 日 24 時間、年中無休でいつでも受講できます。セキュアなコーディングの基礎を学ぶための広範にわたる追加トレーニングもあります。

実践項目 2: 設計におけるセキュリティーの配慮

SDL の実践項目 2 では、ジュニパーの技術者や製品マネージャーが製品開発のプランニング フェーズで実行する必要があるセキュリティー関連ステップを定義します。 このフェーズで、技術者や製品マネージャーには、機能仕様書や製品要件文書などのジュニパーのプランニング文書に示された、セキュリティー リスクに正式に対処することが要求されます。

実践項目 3: 脅威モデリング

脅威モデリングでは、製品に対する脅威の可能性を見積もります。 脅威モデリングでは、そのような脅威からのリスクを判断し、各種の適切な攻撃防御の境界を決定します。

脅威モデリングは、デベロッパーが製品の攻撃面、つまり侵害にさらされている範囲の広さや深さを把握するのに役立ちます。 たとえば、強度の低いパスワードは総当たり攻撃によって悪用される可能性があり、予測可能な TCP/IP 一時ポートを使用すると、攻撃者から TCP リセット攻撃を仕掛けられる可能性があります。

脅威モデリングは、問題を特定して列挙することにより、セキュリティーをより深く評価するフレームワークを構築します。

実践項目 4: 侵入テスト

製品のセキュリティー体制を定義した後、ジュニパーの SDL では侵入テストによってセキュリティー リスクの評価と検証を行います。 侵入テストとは、セキュリティー評価方法の 1 つで、倫理的ハッカーが模擬的に現実世界を攻撃して、アプリケーションやシステム、ネットワークなどのセキュリティー機能を回避する手段を特定するものです。 ここには、攻撃者が一般的に利用するツールや技術を使用して、テスト用システムに実際の攻撃を仕掛ける行為も含まれます。

侵入テストでは、脅威モデリングで列挙された攻撃面や脅威に基づいて侵入テスト計画を作成します。

実践項目 5: リリース セキュリティー レビュー

リリース セキュリティー レビューでは、残っているセキュリティー リスクや、SDL のあらゆる部分での発見事項を特定して評価することを目標に、製品のリリース前にそのセキュリティー体制を調査します。 これにより、ソフトウェアのリリースにとどまらず、製品を製造し、そのライフサイクル全体にわたってサポートする必要があるスタッフ、システム、およびプロセスのセキュリティー体制の全体像を確認します。

実践項目 6: インシデント レスポンス プラン

既知の脆弱性がない状態でリリースされた製品でも、時間の経過に伴って脅威の対象となる場合があります。 インシデント レスポンス プランでは、潜在的な製品の脆弱性にジュニパーが対応する方法と、このような脅威や攻撃防御をお客様にどのようにお伝えするかについて概要を定めます。

この実践項目は、業界から高く評価されている、セキュリティー問題に対応するためのジュニパーのフレームワークであるジュニパーネットワークス セキュリティー インシデント レスポンス チーム(ジュニパー SIRT)に基づきます。 このプランでは、セキュリティー インシデントへの対応は、既存の SIRT ツール、ベスト プラクティス、プロセス、およびリレーションシップに基づくものになります。

ホワイト ペーパー

ジュニパーネットワークスのセキュア開発サイクル