SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

【デブサミ2021】セッションレポート(PR)

ソフトウェア品質とセキュリティ品質の温故知新――先人たちの築いた指標に学ぶ脆弱性対策【デブサミ2021】

【18-B-3】ソフトウェア品質とセキュリティ品質の温故知新

  • このエントリーをはてなブックマークに追加

 ソフトウェアの導入やDX推進に伴い、サイバーインシデントのリスクも増加している。保険・金融サービスを提供しているAllianz Global Corporate & Specialty(AGCS)の発表によれば、サイバーインシデントによるリスクの大きさは自然災害をも上回っているという。企業にとって、いかにしてソフトウェアのセキュリティを向上させるかは喫緊の課題だ。本セッションでは日本シノプシス合同会社の松岡正人氏が、日本やアメリカで制定されたSQuBOKやBSIなどの知識体系を紹介したうえで、脆弱性を管理するために有益なSBOMについても解説。ソフトウェア品質とセキュリティ品質を向上させるための知見を語った。

  • このエントリーをはてなブックマークに追加

日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人氏
日本シノプシス合同会社 ソフトウェア インテグリティ グループ シニアプロダクトマーケティングマネージャ 松岡正人氏

SQuBOKやBSIは何を目指して策定されたのか

 セッション序盤で、松岡氏はSQuBOK(Software Quality Body Of Knowledge:ソフトウェア品質知識体系ガイド)が制定された背景について触れる。

 1980年にソフトウェア工学とTQM(Total Quality Management)とを結びつける目的から、日本科学技術連盟のなかにソフトウェア生産管理研究委員会(略称:SPC研究委員会)が設立された。2005年頃、委員会はソフトウェア品質学の知識体系の策定を検討し始めた。これが後のSQuBOKにつながる。この知識体系の目的は、ソフトウェア品質向上のために有用な知識を形式知化し、多くの人々に共有することにあった。

 2007年に同委員会はSPC(Software Production Control)からSQiP(Software Quality Profession)へと名称を変更。同年にSQuBOKの初版が策定された。当時の策定部会は30名あまりで、実はこのメンバーのなかに松岡氏も含まれているという。

 SQuBOKの第2版は2014年に発刊された。そして発刊後、最新のソフトウェア品質技術を定期的に評価する目的から冊子「SQuBOK Review」が作成されるようになった。また、後年の2020年に発刊されたSQuBOKの第3版では、取り扱う技術領域が拡大し策定部会の人数も40名あまりになったという。

 「SQuBOKが版を重ねるなかで、扱う技術が変化してきている」と松岡氏は語る。最新版では、AIやIoT、DX、DevOpsなど、初版では取り扱っていなかった技術も扱うようになった。それだけではなく、SQuBOKにおけるセキュリティの扱いも大きく変化している。版を重ねるごとに、よりセキュリティを重要なものとして取り扱うようになったのだ。

版を重ねるごとに、SQuBOKにおけるセキュリティの扱いが大きく変化
版を重ねるごとに、SQuBOKにおけるセキュリティの扱いが大きく変化

 松岡氏は次に、アメリカにおけるBSI(Build Security In)という取り組みについて語る。これはDHS(United States Department of Homeland Security:アメリカ合衆国国土安全保障省)とCMI(Carnegie Mellon University:カーネギーメロン大学)よる共同プロジェクトで、2005年10月にリリースされたものだ。BSIはセキュリティに関する知識を形式知化することを目的としている。

 この取り組みはSoftware Assuranceと呼ばれる類いのものだ。Software Assuranceとは「脆弱性を管理できているか」「意図どおりに動作するか」という2つの観点でソフトウェア品質を保証するという考え方のことである。

次のページ
脆弱性を管理するためにはSBOMが有効

関連リンク

この記事は参考になりましたか?

  • このエントリーをはてなブックマークに追加
【デブサミ2021】セッションレポート連載記事一覧

もっと読む

この記事の著者

CodeZine編集部(コードジンヘンシュウブ)

CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

  • このエントリーをはてなブックマークに追加
CodeZine(コードジン)
https://codezine.jp/article/detail/13687 2021/03/15 12:00

おすすめ

アクセスランキング

アクセスランキング

イベント

CodeZine編集部では、現場で活躍するデベロッパーをスターにするためのカンファレンス「Developers Summit」や、エンジニアの生きざまをブーストするためのイベント「Developers Boost」など、さまざまなカンファレンスを企画・運営しています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング