セキュリティ関連の事件・事故は、ニュースの常連さんであるにもかかわらず、Security Innovation と the Ponemon Institute の調査によると、ほとんどのソフトウェア開発企業は、開発プロセスでセキュリティを考慮していないらしい。
セキュリティ対策をとらなければ、その分の費用がかからないので安くなるようにみえるかもしれないが、リリース後の対応などが必要になり結局は高くつく。
そこで、CMMI Institute は、セキュリティを扱うためにソフトウェア開発フレームワークを拡張した。
それがこれ。
「Security by Design with CMMI for Development V1.3」
セキュリティ関連の次の4つのプロセス領域が追加された。
・セキュア開発のための組織準備(OPSD)
・プロジェクトのセキュリティ管理(SMP)
・セキュリティ要件と技術解(SRTS)
・セキュリティ検証と妥当性確認(SVV)
各プロセス領域のゴールとプラクティスの見出しを載せておく。
セキュア開発のための組織準備(OPSD)
SG 1 セキュアな成果物を開発する組織能力を確立する
SP 1.1 セキュリティとセキュリティ事業目標のための管理層のコミットメントとスポンサシップを獲得する
SP 1.2 セキュア開発のために標準プロセスと他のプロセス資産を確立する
SP 1.3 成果物のセキュリティのために自覚、知識とスキルを確立する
SP 1.4 セキュアな作業環境標準を確立する
SP 1.5 脆弱性の取り扱いを確立する
プロジェクトのセキュリティ管理(SMP)
SG 1 セキュリティのためにプロジェクト活動を準備し管理する
SP 1.1 セキュリティプロジェクトのために統合されたプロジェクト計画を確立する
SP 1.2 セキュリティトレーニングを計画し実施する
SP 1.3 セキュアな供給者と第三者の構成要素を選択する
SP 1.4 脆弱性の根本的な原因を特定する
SG 2 成果物のセキュリティリスクを管理する
SP 2.1 成果物のセキュリティリスク管理計画を確立する
SP 2.2 成果物セキュリティリスクアセスメントを実施する
SP 2.3 成果物セキュリティのためにリスクの軽減を計画する
セキュリティ要件と技術解(SRTS)
SG 1 顧客のセキュリティ要件とセキュアなアーキテクチャと設計を開発する
SP 1.1 顧客のセキュリティ要件を開発する
SP 1.2 セキュアなアーキテクチャとセキュリティ設計原理に従い成果物を設計する
SP 1.3 セキュリティ基準を使用し適切な技術を選択する
SP 1.4 セキュアな成果物構成のための標準を確立する
SG 2 セキュア設計を実装する
SP 2.1 実装のためのセキュリティ標準を使用する
SP 2.2 成果物の支援文書にセキュリティを追加する
セキュリティ検証と妥当性確認(SVV)
SG 1 セキュリティ検証を実施する
SP 1.1 セキュリティ検証の準備をする
SP 1.2 セキュリティ検証を実施する
SG 2 セキュリティ妥当性確認を実施する
SP 2.1 セキュリティ妥当性確認の準備をする
SP 2.2 セキュリティ妥当性確認を実施する
体系的な開発プロセスにセキュリティを統合することによって、自らと顧客のセキュリティリスクとコストを減らすことができる。
下記のURLから Security by Design だけでなく webinar も利用可能。
ご参考に。
http://cmmiinstitute.com/securityextension/
第121号:CMMIカンファレンスのご案内, Security by Design with CMMI for Development V1.3
2014年04月25日
-
Security by Design with CMMI for Development V1.3