Written by 夏野ゆきか
目 次
シフトレフトとは、ソフトウェア開発のライフサイクルにおいて、セキュリティ対策やテストを可能な限り早期に組み込むアプローチです。
後期のテストで重大な脆弱性が見つかり、修正コストやリリース遅延に悩まされていませんか?
従来、脆弱性診断やセキュリティテストは開発後期に行われることが一般的でしたが、シフトレフトでは要件定義、設計、実装初期の段階から、静的解析(SAST)や脅威モデリングを適用することで、脆弱性を早期に発見・修正します。
シフトレフトを導入することで、ソフトウェア開発における以下のメリットが期待できます。
- 脆弱性の早期発見
- 開発サイクルの短縮
- 修正コストの削減
- 最終的なソフトウェア品質とセキュリティの向上
またシフトレフトと同様、ソフトウェア開発を安全かつ効率的に進めるための考え方に「セキュリティ・バイ・デザイン」や「DevOps」「DevSecOps」があります。
▼開発に関わる概念(セキュリティ・バイ・デザイン、DevOps、DevSecOps)
| セキュリティ・バイ・デザイン | システムの設計段階からセキュリティ対策を講じ、徹底した脆弱性の排除を試みるという概念 |
|
DevOps DevSecOps |
開発チーム・運用チームが、ライフサイクル全体にわたって連携することで、リリース頻度と質の向上を図る。 DevSecOpsは、DevOpsにセキュリティを融合したもので、開発スピードを維持しつつ、セキュリティも確保する考え方。 |
シフトレフトとこれらの手法には、次のような違いがあります。
- シフトレフト:工程管理に関する考え方
- セキュリティ・バイ・デザイン:システム設計段階からセキュリティ対策を組み込むという概念
- DevOps・DevSecOps:開発体制に関する考え方
この記事では、開発およびセキュリティ関連の職務に関わる皆さまに、シフトレフトの導入メリットや実施する際のポイントなどを解説します。
▼この記事を要約すると
- シフトレフトは、開発初期段階にセキュリティ対策を組み込むという考え方
- 導入で得られる効果:脆弱性の早期発見、開発サイクルの短縮、修正コストの削減、機能とセキュリティ品質の向上
- 実施時に注意すべきポイント:開発チームとセキュリティチームの連携、テストの自動化を図る、セキュリティチームが検証・承認したツールの活用
シフトレフトとは
シフトレフトとは、ソフトウェア開発プロセスにおいて、セキュリティ対策やテストを可能な限り初期段階に組み込むという考え方です。
従来、脆弱性診断やセキュリティテストは、設計や実装が完了した後の工程で実施されることが一般的です。しかしこの手法では重大なセキュリティリスクが発見された場合、修正に伴うコストが増大し、リリースの大幅な遅延が発生する可能性がありました。
そこで開発の初期段階にて潜在的な脅威の特定や静的解析(SAST)などを行い、早期に脆弱性を検出・修正する、シフトレフトの概念が注目されています。
シフトライトとは?
シフトライトは、ソフトウェアやサービスのリリース後に、実際の運用状況から得られるデータやユーザーフィードバックを活用し、継続的に品質を向上させる手法です。
シフトレフトとは対照的なアプローチに見えますが、これらは相互に排他的でなく、むしろ補完的な役割を果たします。シフトレフトが開発工程における効率化と品質向上を目的とするのに対し、シフトライトは運用フェーズでの改善活動に焦点を当てています。
シフトレフトとシフトライトの統合
両アプローチの目的は異なるものの、最終的には製品の品質向上およびユーザー満足度の最大化という共通のゴールを持ちます。
企業や製品の特性に応じ、これらの手法を柔軟に組み合わせることが、ソフトウェア開発における成功の鍵となります。
シフトレフトと類似した概念の違い(セキュリティ・バイ・デザイン / DevOps / DevSecOps)
シフトレフトと同様、ソフトウェア開発を安全かつ効率的に進めるための手法として「セキュリティ・バイ・デザイン」「DevOps」「DevSecOps」があります。
セキュリティ・バイ・デザイン
セキュリティ・バイ・デザインは、システムの設計段階からセキュリティ対策を組み込み、脆弱性を未然に排除するという考え方です。
シフトレフトと類似していますが、シフトレフトがソフトウェア開発の「工程管理手法」であるのに対し、セキュリティ・バイ・デザインは「概念」である点が異なります。
DevOps / DevSecOps
「DevOps」とは、ソフトウェア開発(Development)と運用(Operations)を組み合わせた造語であり、開発チームと運用チームが連携して、ソフトウェアの開発から運用、保守までのライフサイクルを効率的に進めるための手法です。
自動化や継続的インテグレーション※、フィードバックの迅速化などのプロセスを組み合わせ、開発者と運用担当者が密にコミュニケーションを取ることで、作業の重複や対立を減らします。
※継続的インテグレーション…開発者が書いたコードを頻繁に統合し、自動化されたテストを実施する手法。コード変更による問題やバグを早期に発見し、修正できる
また、「DevSecOps」はDevOpsにセキュリティ対策を統合した手法で、開発スピードを維持しつつセキュリティ要件も同時に満たすこと、を目的としています。
開発プロセス全体にセキュリティテストや脆弱性診断を組み込み、リリース前のリスク軽減を図ります。
シフトレフトテストの種類
シフトレフトテストの種類について解説します。
各テスト手法の概要を、以下の表にまとめました。
| テスト種類 | 概要 |
|---|---|
|
SAST (静的アプリケーション・セキュリティ・テスト) |
アプリケーションのソースコードやバイナリコード(ソースコードをコンピュータが理解できる形式に変換したもの)を静的に解析し、脆弱性の有無を特定するテスト手法。 |
|
DAST (動的アプリケーション・セキュリティ・テスト) |
実行中のアプリケーションに、外部からの攻撃をシミュレートすることで脆弱性を検出するテスト手法。 |
| 脅威モデリング | アプリケーションの設計を分析し、実装前に脆弱性を特定すること。 |
| セキュリティ・アーキテクチャのレビュー | システム設計全体を評価し、構成要素の相互作用やデータフロー確認で潜在的な脆弱性を特定すること。 |
| コンテナイメージスキャン | コンテナに格納されるアプリケーションおよびアプリケーションの実行に必要なファイルなどをスキャンし、脆弱性を検出する方法。 |
| コード署名 | デジタル署名をコードに付与し、改ざん防止や信頼性の証明を行う。署名プロセスにより、ソフトウェアの信頼性を向上させる手法。 |
これらのテスト手法を適切に組み合わせることで、ソフトウェア開発プロセス全体のセキュリティおよび品質の向上が可能です。
重要なのは、各手法をただ形式的に適用するのではなく、プロジェクトの要件や特性に応じて柔軟に活用することです。適切な手法を適宜選択・統合することで、効率的かつ効果的なセキュリティ対策が実現できます。
シフトレフトのメリット
シフトレフトを導入することで、以下のメリットが得られます。
- 脆弱性の早期発見
- 開発サイクルの短縮
- トータルコストの低減
- 機能の向上
シフトレフトでは、開発工程の初期段階からセキュリティ対策や脆弱性診断を実施するため、脆弱性を早期に検出し、修正コストを従来よりも抑えることが可能です。
さらに、企画、要件定義、および設計といった実装前の各フェーズでセキュリティ対策が施されるため、リリース後にセキュリティインシデントが発生するリスクを低減。結果、インシデントによる損失や対応コストを回避し、トータルコストの削減につながります。
加えて、リリース直前に重大な脆弱性が発見される事態を防ぐことができるため、リリーススケジュールに遅延を生じさせることなく、開発サイクルの短縮を実現します。
シフトレフトを実施する際のポイント
シフトレフトを効果的に実施するためには、以下のポイントを押さえることが重要です。
- 開発チームとセキュリティチームの密な連携
- テストの自動化
- セキュリティチームがレビューしたツールの活用
1. 開発チームとセキュリティチームの密な連携
シフトレフトを効果的に運用するには、設計段階から開発チームとセキュリティチームが密接に連携することが不可欠です。設計フェーズでセキュリティレビューを実施し、セキュリティ上の懸念や潜在的なリスクを早期に特定することで、後工程での修正コストを削減できます。
2. テストの自動化
テストの自動化を導入することで、広範なテストシナリオを効率的にカバーし、テスト担当者の負担を軽減します。自動化はヒューマンエラーやテスト結果のばらつきを防ぎ、一貫性のある検証結果の獲得に貢献します。
自動化されたテストには、以下のような手法が含まれます。
- 単体テスト
- 統合テスト
- 静的解析(SAST)
- 動的解析(DAST)
3.セキュリティチームが検証・承認したツールの活用
セキュリティチームによって検証・承認されたセキュリティツールやライブラリを活用することで、一定のセキュリティ基準を維持しながら開発が進められます。
ツールの適切な活用は、開発プロセスの属人化を防ぎ、成果物の品質向上に寄与します。
標準化されたセキュリティ対策が開発工程に組み込まれることで、セキュリティリスクの低減に繋がるでしょう。
シフトレフトに基づく、開発時のセキュリティ対策
シフトレフトに基づく開発にて実施される、主なセキュリティ対策について解説します。
- セキュリティ・バイ・デザイン
- 安全な開発環境
- ソースコード診断
- 脆弱性診断
1.セキュリティ・バイ・デザイン
セキュリティ・バイ・デザインは、開発の初期段階(企画および設計フェーズ)からセキュリティ要件を組み込むアプローチです。
内閣サイバーセキュリティセンター(NISC)も提唱するように、早期段階でセキュリティ対策を実施することは、後工程の脆弱性修正の負担を軽減し、システム全体の効率性を向上させます。
2.安全な開発環境
シフトレフトを効果的に実施するためには、安全な開発環境の構築が不可欠です。具体的には、以下の施策が求められます。
- セキュアなフレームワークやライブラリの採用
- 開発時における静的解析ツールや依存関係スキャナの活用
これにより、開発段階でのセキュリティリスクを最小限に抑え、成果物の品質向上が図れます。また定期的に環境監査を実施することで、ツールのアップデートおよび新たな脆弱性への迅速な対応が可能になります。
3.ソースコード診断
ソースコード診断は、開発工程の各フェーズで実施される重要なセキュリティ対策です。
静的解析(SAST)を通じてコードの脆弱性や品質上の問題を早期に特定し、後工程での手戻りや修正コストを削減します。
4.脆弱性診断
サービスのリリース前や新機能の追加時、開発元やベンダーは脆弱性診断の実施が必要となります。理由は、以下の通りです。
-
セキュリティリスクの特定:
新たに導入したコードや機能に潜在する脆弱性を早期に発見し、修正するため -
セキュリティ対策の有効性確認:
既存のセキュリティ対策が、新機能やシステム変更後も適切に機能しているかを検証するため -
リリース後のインシデント防止:
リリース後に重大なセキュリティインシデントが発生するリスクを未然に防ぐため
脆弱性診断の実施は、サービス公開後のセキュリティインシデントの発生を抑制し、被害を最小限にとどめるための準備として必要不可欠な工程です。
LANSCOPE プロフェッショナルサービスの脆弱性診断
LANSCOPE プロフェッショナルサービスでは、インシデント情報や脆弱性情報を定期的に収集・解析し、診断ルールに即時反映することで、常に最新のセキュリティ基準に基づいた脆弱性診断サービスを提供しています。
事業会社、開発企業、官公庁など多様なクライアント様から支持されており、リピート率90%を誇る高品質な診断が特徴です。
経験豊富なスペシャリストによる診断
国家資格を保有するセキュリティスペシャリストが、システムやネットワークに潜む脆弱性およびセキュリティリスクを網羅的に洗い出し、効率的な脆弱性対策を支援します。診断後のレポートでは、脅威の種類やリスクレベルに加え、具体的な対策内容も提示し、確実な脆弱性修正およびセキュリティレベル向上を支援します。
脆弱性診断サービス一覧
- Webアプリケーション診断
- ソースコード診断
- ネットワーク診断
- スマートフォンアプリケーション診断
- ゲームセキュリティ診断
- IoT脆弱性診断
- ペネトレーションテスト
- サイバーリスク健康診断
このようなニーズに対応
- 自社環境やサービスの脆弱性が懸念される
- 診断ツールではなく、専門家による診断を希望する
上記のようなご要望をお持ちの担当者様は、ぜひLANSCOPE プロフェッショナルサービスへお問い合わせください。ご都合やご予算に応じて、最適な診断プランをご提案いたします。
まとめ
本記事ではシフトレフトに関して、従来の開発アプローチとの違い、導入メリットや実施時のポイントを解説しました。
本記事のまとめ
- シフトレフトとは、ソフトウェア開発プロセスにおいて、セキュリティ対策を初期段階に組み込むという考え方
- シフトレフトを導入することで「脆弱性の早期発見」「開発サイクルの短縮」「トータルコストの低減」「機能の向上」といったメリットが期待できる
- 実施する際は「開発チームとセキュリティチームの連携」「テストの自動化」「セキュリティチームがレビューしたツールの活用」といったポイントを押さえることが重要
シフトレフトは、実装前の各ステップにセキュリティ対策を組み込むことで、高品質なソフトウェア開発を可能にするだけでなく、後工程でのコスト増やリスクを軽減し、製品のリリース時期を早める効果も期待できます。
本記事が、理解のお役に立てれば幸いです。
おすすめ記事
