特集：継続的に儲けるための「セキュリティバイデザイン」入門

近年の複雑化、多様化するサイバー攻撃を迎え撃つセキュリティ対策は、迅速なサイクルを回す開発が求められるデジタルトランスフォーメーション（DX）の阻害要因になるのではという意見もある。その中、DXとセキュリティの両立に有効なのが「セキュリティバイデザイン」だ。では、企業がセキュリティバイデザインに取り組む上で、どのような課題があるのか。

コンテナ、マイクロサービス、サーバレス、そしてアジャイル／DevOpsといった、デジタルトランスフォーメーション（DX）時代に求められる技術や手法を駆使した現在の開発では、どのようなセキュリティバイデザインが求められるのか。

デジタルサービスの継続的な運用には、セキュリティ対策が欠かせない。「最初からアジャイルで作るのは難しい。既に何らかのシステムを持っているのだから、まずはその運用をどうするかを考えなければならず、OpsがDevよりも先になる」と述べるauカブコム証券の石川陽一氏の事例から、デジタルサービスのDevSecOpsに欠かせない「データ活用」の要点を探る。

クラウドやコンテナ、マイクロサービスが主流になりつつある現在、セキュリティバイデザインという考え方をどのように発展させ、適用させていけばいいのだろうか。

ECサイトやWebサービスでセキュリティインシデントを起こさないためには何をすればいいのか。2019年12月に開かれた「PHP Conference Japan 2019」で徳丸浩氏が、架空企業で起きたセキュリティインシデントを例に、その対策方法を紹介した。

＠ITは2019年11月19日、「＠IT ソフトウェア品質向上セミナー 2019 冬〜不確実性が高まるDX時代のソフトウェアテスト／品質保証はどうあるべきか」を開催した。本稿では、リクルートテクノロジーズ 執行役員の竹迫良範氏の特別講演「IoTプロダクトの品質とセキュリティテスト、未知の脅威に対応する開発体制とは」の模様を要約してお伝えする。

2019年11月にCloud Native Computing Foundation（CNCF）が米サンディエゴで開催したイベント「KubeCon＋CloudNativeCon North America 2019」では、米国防総省がKubernetesの広範な採用を進めていることを明らかにした。

エンジニアならば避けては通れない技術となった「コンテナ」に“脅威”はないのだろうか？　“コンテナセキュリティ”が考慮すべき6つのポイントや、どこで脅威が混入する可能性があるのかをトレンドマイクロに聞いた。

2019年7月、NPO日本ネットワークセキュリティ協会が「今知りたい！　システムを守る認証の実態」セミナーを開催。「認証」と「セキュリティ」をキーワードに3人の登壇者が、現在、事業者そして利用者ができることを語る会となった。

従来のモノリシックなアーキテクチャに代わって着目されている「マイクロサービス」や「サーバレス」。これらの新しいアーキテクチャについて、セキュリティの観点からどのようなことに留意すべきなのだろうか。

TISとラックが協業し、クラウドサービスおよびセキュリティサービスの領域において新たに「クラウド＆セキュリティサービスプラットフォーム」を提供することを発表した。

Aqua Container Security Platformは、コンテナを利用したサービス／アプリケーションの開発から本番展開、運用に至る各プロセスで、コンテナ技術に合わせたセキュリティ対策を提供するソフトウェア製品群だ。

「Black Hat USA 2018」に先駆けて2018年8月7日にSynopsysが開催した「Codenomicon 2018」では、セキュリティ担当者と開発者、運用者が一体となってセキュアなアプリケーションを迅速にリリースに必要なポイントが紹介された。

日本CAはセキュアなソフトウェア開発に関する調査結果を2018年7月9日に発表した。日本では企業文化が、セキュアなソフトウェア開発ライフサイクルの採用を妨げている場合が多いと分かった。