Core Concepts
ソフトウェア開発における理論的なセキュリティ手法と実際の業界での実践との間には乖離がある。企業は増加するセキュリティの重要性を認識しつつ、形式化されたプロセスへの完全な統合には至っていない。
Abstract
本研究は、ソフトウェア開発におけるセキュリティの現状を明らかにすることを目的としている。
まず、文献レビューを通じて、ソフトウェアセキュリティに関する理論的な手法を整理した。主な内容は以下の通り:
セキュリティ要件の定義: 脅威モデリング、リスク分析、要件レビューといった手順が重要
セキュリティ脆弱性の管理: 脆弱性の検出と迅速な対応が不可欠
セキュリティ標準: ISO 27001、OWASP、Common Criteriaなどが広く活用されている
次に、ドイツの20社へのインタビュー調査を実施し、実際の企業におけるセキュリティ実践を分析した。主な結果は以下の通り:
企業はセキュリティの重要性を認識しているが、形式化されたプロセスへの完全な統合には至っていない
セキュリティ要件の特定や脆弱性管理は行われているものの、標準化されたプロセスとして定着していない
セキュリティバイデザインの概念は一部の企業で採用されつつあるが、全般的には十分に浸透していない
以上より、ソフトウェアセキュリティに関する理論的な知見と実際の企業実践との間には乖離が存在することが明らかになった。今後の研究では、この乖離を埋めるための具体的な方策を検討していく必要がある。
Stats
セキュリティは機能性に劣らない重要性を持つ。
セキュリティの重要性は年々高まってきている。
セキュリティ要件の特定やリスク分析は行われているが、標準化されたプロセスとして定着していない。
脆弱性への迅速な対応と、その経験を活かした改善が課題となっている。
セキュリティバイデザインの概念は一部の企業で採用されつつあるが、全般的には十分に浸透していない。
Quotes
「セキュリティは機能性に劣らない重要性を持つ。ただし、最終的な導入時には機能性が優先される」
「セキュリティの重要性は年々高まってきており、現在では非常に重要な位置を占めている」
「セキュリティ要件の特定やリスク分析は行っているが、それらを標準化されたプロセスとして定着させるのは難しい」