セキュア開発ライフサイクル(SDLC :Secure Development Life Cycle)構築支援

製品のセキュリティ上の欠陥である脆弱性は、企画・設計・実装の各フェーズにおいて仕様書、設計書やソースコードに入り込み、何も対処をしないと製品に含まれたまま出荷されます。製品のセキュリティを確保するためには、開発プロセス全体を通じ、脆弱性が入り込んだタイミングで迅速に取り除くことが効果的です。PwCは、製品をセキュアに作りこむ開発者視点と、脆弱性を発見する攻撃者視点という2つの異なる観点を組み合わせ、対象製品に最適化されたセキュア開発ライフサイクルの構築を支援します。

セキュリティ問題の原因(脆弱性)はいつ製品に入り込むか?

企画・仕様フェーズ・設計フェーズ・実装フェーズにおいて、仕様書、設計書やソースコードに脆弱性が入り込み、なにも対処しないとそのまま製品に含まれたまま出荷されます。

脆弱性の発見時期で深刻度が変化します

脆弱性の発見が遅れると、被害深刻度が増し、対応のための作業が増加します。

開発プロセス全体でセキュリティ対策を実施するSDLC(セキュア開発ライフサイクル)活動

セキュリティ対策を実施するためには、開発プロセス全体で施策を実施する必要があります。より上流工程から、開発プロセス全体でセキュリティ対策を実施するSDLC活動(セキュア開発ライフサイクル)の構築により、セキュリティ含め、仕様変更の要因を早期に取り除くことが可能になります。

SDLC(セキュア開発ライフサイクル)活動の全体像

製品セキュリティ品質確保のためには、開発プロセス全体を通じた継続的なセキュリティ活動が必要です。開発者、攻撃者の2つの異なる観点を使い分け、対象製品に最適なセキュリティ活動を構築します。

SDLC(セキュア開発ライフサイクル)構築支援サービスの特徴

製品開発の一番の目標は、製品価値を高め顧客満足を得ることです。セキュリティ品質は製品価値にとって大変重要な要素ですが、セキュリティ活動が製品価値の総体を下げることがあってはなりません。PwCは、製品価値の向上を大前提とした最適なSDLC・セキュリティ活動の構築を支援します。

1.製品・業界への最適化

製品や業界の特性に合わせた最適な活動

  • 製品リリースサイクル、業界標準の開発プロセス、製造される品数や仕向け数、サプライチェーンなどの違いにより、製品ごとに最適なセキュリティ活動はさまざまです。
  • PwCのアプローチでは、これらの内的外的な環境を考慮した、対象製品に最適なSDLC活動を構築します。

2.開発者フレンドリー

開発者による製品価値の向上活動と協調するセキュリティ活動

  • 製品開発者はITの急速な発展に追いつくことに多大な労力を費やしており、セキュリティ活動に追加の労力を割くことは製品価値の低下につながりかねません。
  • PwCのアプローチは、開発者・開発現場の現状理解からスタートし、製品価値の総合的な向上につながるセキュリティ活動を構築します。

3.説明可能なセキュリティ品質

セキュリティ品質を説明可能にするセキュリティ活動

  • 製品開発者には製造物の品質に対する責任があり、万一事故が起きた場合には、製品品質について合理的な説明が求められます。
  • PwCのアプローチでは、セキュリティ品質の基礎であるセキュリティ要件と個々のSDLC活動を連鎖的に結び付けることで、セキュリティ品質の構造を説明可能にします。

主要メンバー

山本 直樹

パートナー, PwCコンサルティング合同会社

Email

林 和洋

パートナー, PwCコンサルティング合同会社

Email

奥山 謙

マネージャー, PwCコンサルティング合同会社

Email