MSが問いかける「セキュアなアプリを書けますか?」

2005/12/9

 マイクロソフトは12月8日、アプリケーションのセキュリティを向上させる開発者向けの新施策「Developer Security」を発表した。SQLインジェクションなどWebアプリケーションを狙った攻撃の増加を受けた施策で、マイクロソフトの開発ノウハウを一般の開発者に提供する。

 米マイクロソフトのディベロッパーマーケティング プロダクトマネージャ リック・サモーナ(Rick Samona)氏はセキュリティ対策について、「いままではファイアウォールなどネットワークのセキュリティが重要と考えられてきたが、SQLインジェクション、クロスサイト・スクリプティングなどの登場でアプリケーションのセキュリティが重要になってきた」と指摘した。セキュリティ担当者はアプリケーションに詳しくなく、アプリケーション開発者はセキュリティを知らないなど「アプリケーションセキュリティのギャップ」もあり、脆弱性が生まれているという。マイクロソフトの調査によると、セキュアなアプリケーション開発に必要なスキルを持っていると答えた開発者は、全体の5%に過ぎない。

米マイクロソフトのディベロッパーマーケティング プロダクトマネージャ リック・サモーナ氏

 Developer Securityの柱はマイクロソフトが2002年から採っているアプリーション開発プロセス「セキュリティ開発ライフサイクル」(Security Development Lifecycle:SDL)の提供。SDLはアプリケーション開発の設計から展開までの各工程でセキュリティを配慮した開発を行うよう定めたプロセス。マイクロソフトによるとSDL以前に開発した「Windows 2000 Server」は開発終了後455日の段階で見つかった脆弱性が55件だったのに対して、SDLの下で開発した「Windows Server 2003」は同期間で脆弱性が17件だったという。

 サモーナ氏はSDLについて「アプリケーションの設計時点で適用する“スレットモデリング”がポイントの1つ」と説明した。スレットモデリングは、開発するアプリケーションの設計から、そのアプリケーションの予測される脅威を洗い出す機能。SDLには開発中のコードをスキャンして脆弱性を見つけるプロセスもある。SDLでは脆弱性が見つかった場合、開発をストップして、工程を戻って問題点を探し出す。そのため脆弱性の発見によってアプリケーション開発の期間やコストに影響がでる可能性がある。サモーナ氏も「SDLの適用でアプリケーション開発の時間は12%程度増える」とする。

 しかし、マイクロソフトが示した資料によるとアプリケーションの脆弱性をテスト時に見つけた場合の修正コストは、開発中に発見した場合の約15倍になる。SDLの適用で開発時間が増えたとしても開発ライフサイクル全体をみると短期間、低コストになるというのがマイクロソフトの考え。サモーナ氏は「実質的にはSDLによってアプリケーション開発の時間やコストを短縮、削減できる」と述べた。

 また、マイクロソフトは、自社の社内アプリケーションを開発する際のプロセスである「SDL-IT」も提供する。WindowsやOfficeなどの大規模アプリケーション向けの開発プロセスであるSDLと比較すると、SDL-ITの対象は社内向けの会計システムなどで比較的小規模。サモーナ氏は「SDL-ITの開発ライフサイクルはSDLより短い。SDL-ITは早急な成果が求められる開発に適している」と説明した。SDLは15ページほどのホワイトペーパーで提供し、SDL-ITはWebキャストなどを使って開発者にノウハウを伝える。サモーナ氏は「SDLは開発プロセスなので、Javaなど非マイクロソフトの環境でも利用できる」と述べた。

 マイクロソフトは12月8日、開発者向けにセキュリティ情報を提供するWebサイト「デベロッパー セキュリティ センター」をMSDNオンラインに開設した。同センターではSDLのほかに実務的なセキュリティガイダンスやオンライントレーニングを提供する。マイクロソフトのデベロッパー&プラットフォーム統括本部 デベロッパービジネス本部 本部長 北川裕康氏はマイクロソフト コンサルティング サービスを使って、顧客やISVパートナー向けにSDLの導入サービスを提供開始することも明らかにした。同社は2006年3月2日に開発者を対象にしたイベント「Developer Security Day」を都内で開催し、トレーニングなどを提供する。

(@IT 垣内郁栄)

[関連リンク]
マイクロソフトの発表資料

[関連記事]
MSのマルウェア対策は無料・有料の両方を用意 (@ITNews)
SQL Server 2005、Visual Studio 2005発表、提供開始は12月 (@ITNews)
セキュリティ対策活動の成果を誇示するマイクロソフト (@ITNews)
IE 7 ベータ版を今夏リリース、MSが日本でも発表 (@ITNews)
カカクコムがサイト再開、依然残る多くの疑問 (@ITNews)

情報をお寄せください:



最新記事

@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)
@IT