ソフトウエアのデプロイメント後に脆弱性を修正しなければならなくなるリスクやコストは、ソフトウエア開発者にとっても、エンドユーザにとっても、大きな負担となってしまうため、ソフトウエア製品出荷前の脆弱性対策が重要です。昨今、セキュリティ上の欠陥の根本原因に対する理解が深まるにつれ、実装とデプロイメントのフェーズだけでなく、ソフトウエア開発ライフサイクル全般を通して、セキュリティ対策の重要性に対する理解が深まってきています。
JPCERTコーディネーションセンターは、CERT/CCと共同で、ソフトウエア設計工程における脆弱性低減策の一つとして、一連の「セキュアデザインパターン」を定義しました。セキュアデザインパターンとは、設計工程における脆弱性低減策の一つであり、同工程において脆弱性に繋がる要因の数と脆弱性の被害を最小限にするために準備された再利用可能な設計のひな形です。セキュアデザインパターンは、認証や認可を始めとした特定のセキュリティ関連の機能要件を満たすためのものではなく、ソフトウエアあるいはシステムが提供する機能のセキュリティ品質 (非機能要件としてのセキュリティ) の向上を目的としたものです。機能に依存しない対策であるため、セキュアコーディングと同様にその適用範囲は開発される製品の種類 (アプリケーションドメイン) を選ばず、かつ、開発言語への依存性も低いことから、幅広い開発プロジェクトにおける脆弱性対応関連コストの削減とリスクの低減などに資する効果が期待できます。また、開発現場において、下流工程における対策であるセキュアコーディングと併用して適用することにより、より大きな効果が期待できます。
本技術報告書は、定義されたセキュアデザインパターンをまとめたものであり、ソフトウエア製品の開発者が、設計工程において、より安全なソフトウエア製品を提供するための対策を検討される場合の参考として下さることを期待して公開するものです。
更新情報 (2009-11-04):
英語版報告書に新たなセキュアデザインパターンを追加しました。追加されたパターンは次の6つです。
設計レベルのパターン
- Secure Factory
- Secure Strategy Factory
- Secure Builder Factory
- Secure Chain of Responsibility
実装レベルのパターン
- Secure Logger
- Clear Sensitive Information
公開日 | タイトル | PGP 署名 | |
---|---|---|---|
2009-11-04 | ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(2009年10月更新:英語版) | 1.47MB デジタル 署名付 |
PGP 署名 |
2009-06-30 | ソフトウエア設計工程における脆弱性低減対策 「セキュアデザインパターン」(日本語版) | 1.40MB | PGP 署名 |