一般社団法人コンピュータソフトウェア協会(略称、CSAJ)は7月13日、パッケージソフトウェアやウェブサービスのセキュリティ品質を向上させるための「ソフトウェア出荷判定セキュリティ基準チェックリスト」を発表した。チェックリストはCSAJのサイトからダウンロードでき、クリエイティブコモンズライセンスに基づきCSAJ会員のみならず誰もが自由に利用可能で、自社利用はもとより、改変や商用利用も可能となっている。
チェックリスト利用イメージ図
本チェックリストは、CSAJ会員企業でセキュリティや品質保証を担当する専門家が制作したもので、ソフトウェアの品質の一環としてセキュリティを捉え、開発現場での仕様策定や出荷テストの際の評価項目として幅広く利用できることを目的として構成されているという。
ソフトウェアの脆弱性や不具合を狙ったサイバー攻撃は増加し続けており、ソフトウェア開発会社にとって信用失墜や売上低迷などにもつながる重要な経営課題となっている。こうしたソフトウェア製品やサービスのセキュリティ問題では、自社内のソフトウェア制作過程で作りこんだ脆弱性や不具合のみならず、自社製品・サービスに組み込んだ他社製あるいはオープンソースのOSやソフトウェア、クラウドサービスなどにも脆弱性が含まれているため、その検証を困難にしている。
本チェックリストでは、こうした実情を踏まえ、ソフトウェア製品・サービスの企画、仕様策定、方式設計、詳細設計、テスト、運用に至るライフサイクルの中で、一定レベルのセキュリティ品質を確保する観点から、管理対象項目と管理手法を定義している。これによって、社内のエンジニアだけでなく企画担当者や品質管理担当者、外部の協力会社も含めたセキュリティ品質の管理が可視化でき、出荷されるソフトウェア製品・サービスの信頼性の一層の向上が期待できるという。
ソフトウェア出荷判定セキュリティ基準策定ワーキンググループのメンバーは以下の通り(社名五十音順、敬称略)
主査
- 小屋晋吾(トレンドマイクロ/セキュリティ委員会副委員長)
メンバー
- 三舛畑達(アクセルユニバース)
- 板東直樹(アップデートテクノロジー)
- 福嶌淳也(オー・エイ・エス)
- 伊藤裕紀(サイバートラスト)
- 松尾武俊(サイバートラスト)
- 明尾洋一(サイボウズ)
- 唐澤正樹(チェプロ)
- 太田浩二(トレンドマイクロ)
- 望月信昭(日本ナレッジ)
- 上符仁司(ピー・シー・エー)
- 高田寿久(フォーラムエイト)
- 太田 猛(ユビキタス)
- 太田 純(リコージャパン)
