Enterprise Watch
最新ニュース

米官民団体、ソフト開発におけるセキュリティ向上の手引書を発表


 米政府とIT企業が共同で結成したイニシアティブ、National Cyber Security Partnership(NCSP)の作業部会は4月1日(米国時間)、ソフトウェア開発におけるセキュリティ向上の手引書「Improving Security Across the Software Development Lifecycle」を発表した。ソフト開発ライフサイクル全体を子細に検討した初めての試みという。

 手引書は、NCSPの作業部会の1つ、Security Across the Software Development Life Cycleが作成したもので、ソフトウェア開発段階におけるセキュリティ向上に関する検討結果をまとめた。「ソフトをセキュアにする魔法の解決策はない」(共同議長のScott Charney米Microsoft最高セキュリティ責任者)としながらも、あらゆる面から、考えられる方策を調べた。手引書は100ページを超えるもので、次の点を推奨している。

 (1)現在および将来のソフトウェア開発者の教育の向上(2)ソフトウェア設計プロセスの中核にセキュリティを置いたベストプラクティスの確立(3)パッチ管理手法の適用(4)安全なソフトウェア開発を奨励するフレームワークの適用

 同作業部会は各項目ごとに分科委員会を設けて、詳細な提案を行っている。例えば、パッチ管理では、シンプルで容易かつ信頼できるパッチプロセスとして、「Guiding Principles for Patch Management」という手法を開発。テスト済みで小さなサイズのパッチの発行など、パッチ管理に関するトップ10リストを提供している。また、安全なソフトウェア開発を奨励するフレームワークでは、開発奨励賞の授与や、国家認定プログラムの作成などを提案している。

 NCSPは、ソフト業界団体Business Software Alliance(BSA)や米商務省などが2003年に結成したイニシアティブ。5つの作業部会に分かれて全体としてのコンピュータセキュリティ改善を目指しており、Improving Security Across the Software Development Lifecycleは、Scott Charney氏と米Computer AssociatesのチーフセキュリティストラテジストRon Moritz氏が共同で議長を務めている。



URL
  National Cyber Security Partnership(NCSP)
  http://www.cyberpartnership.org/
  ニュースリリース(英語)
  http://www.cyberpartnership.org/040104.html
  手引書全文(PDF・英語)
  http://www.cyberpartnership.org/SDLCFULL.pdf


( Infostand )
2004/04/02 10:10

Enterprise Watch ホームページ
Copyright (c) 2004 Impress Corporation All rights reserved.