開発プロセスにおけるセキュリティチームの関与

開発プロセスの早い段階でセキュリティチームを関与させることが重要で、セキュリティチームは開発チームと協力し合う必要があります。そうすることで、セキュリティが最終段階で追加されるのを避けられて、初めからセキュリティを念頭に置いてアプリケーションを構築することができます。

セキュリティチームが本番環境へのデプロイの直前に開発者の作業やアプリケーションのセキュリティを批判すると、建設的な関係は築けません。セキュリティチームと開発者が早い段階でつながりを持ち、初期の、少なくとも最初のプロトタイプの段階から各アプリケーションに必要な保護を計画することが基本です。

関連する推奨事項

主なリスクと軽減

  • 本番環境に紛れ込んでしまっているアプリケーションの脆弱性は、多くの場合、セキュリティチームの関与が遅れたために対策の時間が不足していることと関連しています。Web ポートは通常 Web アプリケーションを提供するために開かれているため、アプリケーションの脆弱性があると外部のインターネットからアクセスが可能になり、攻撃者の侵入口となります。

評価のガイダンス

  • セキュリティチームは、開発チームとどのように協力していますか?積極的ですか?それとも受動的ですか?
  • セキュリティチームは、アプリケーションの設計段階で、アーキテクチャに関する決定メンバーとして参加していますか?
  • セキュリティチームは、早い段階でセキュリティのベストプラクティスに関するガイダンスを開発チームに提供していますか?
  • セキュリティチームは、アプリケーションのセキュリティレビューに早期に関与していますか?
  • セキュリティチームは、アプリケーションのリリース日にどれくらい近い時期から関与していますか?
  • 開発者は、セキュリティの課題を解決するためにセキュリティチームに簡単に連絡を取ることができますか?