8月18日、新刊『セキュアなソフトウェアの設計と開発』を発刊

株式会社秀和システム

2023年8月14日 07時00分

株式会社秀和システム（東京都・代表取締役会長兼社長上田智一）は、2023年8月18日、新刊『セキュアなソフトウェアの設計と開発』を発刊します。本書は、Microsoftでセキュリティの脅威モデリングを行う際に広く使われている「STRIDE脅威モデル」を開発し、Googleでもセキュリティやプライバシーに関連する部門で主要メンバーとして務めたローレン・コンフェルダー氏の20年以上にわたる経験を集約し、ソフトウェアのセキュリティを向上させるために必要となる実践的な手法をまとめたものです。

ソフトウェアにおいて「セキュリティ」は、誰の仕事でしょうか。そして、それはどのような尺度で計るべきものなのでしょうか。

本書では「セキュリティはみんなの仕事」であり、セキュリティコンサルタントが最後に「後付けで加えるものではない」と述べています。つまり、ソフトウェアの設計段階からセキュリティを組み込み、実装段階では入力インターフェイスに気を付け、そして、セキュリティを踏まえたテストを行うべきということです。

しかし、ソフトウェアセキュリティは⽬に⾒えないものであり、また複合的な要素を含むため、その脅威を特定して評価を行うのは難しいものです。そこで、本書の著者であるローレン・コンフェルダー⽒らが、Microsoftで開発したのが「STRIDE脅威分類」です。本書は、その「STRIDE脅威分類」をベースに、設計段階からテストまで、開発の各フェーズで必要となるセキュリティの手法を実践的に解説しています。

「第1部コンセプト」では、ソフトウェアセキュリティの基礎的概念を説明しています。セキュリティとプライバシー、脅威モデリングの手法、脅威への防御策の戦略、セキュリティのアンチパターン、そして暗号技術など、以降の解説の基礎でありながら実践的な内容です。「第2部設計」は、本書を特徴付けるパートであり、最も重要なパートです。ソフトウェア設計者とセキュリティレビュアーの視点から、セキュアなソフトウェアを構築するための実践的なガイダンスを提供しています。「第3部実装」は、実際のコーディングで注意すべき点について解説しています。セキュアな設計の後で新たな脆弱性の生成を防ぎながらソフトウェアを開発する方法、また、脆弱性がどのようにコードに忍び込むのか、そしてそれをどのように回避するのかを具体的なコードスニペットを示して説明しています。取り上げられることが少ない「セキュリティテスト」についても1章を費やしています。「後書き」では、本書の締めくくりとして、セキュリティを向上させるためにどのように行動すべきなのか、また、セキュリティを発展させるためのアイデアなどが語られています。

こういった視点でソフトウェアのセキュリティについて書かれた書籍は類を見ないもので、AIがソフトウェア開発に活用される今の時代にも、そして今後も適用可能な普遍的な知識が詰まっています。

原著者であるローレン・コンフェルダー氏は、日本で10年以上ソフトウェア開発に従事し、日本語も堪能です。日本語版の刊行に寄せて、次のようなコメントを日本語でいただいています。

本書が日本で翻訳出版されることを非常に喜んでいます。私が本書の日本語版を楽しみにしている理由はたくさんあります。自分は日本で働いてきたのでよい思い出があり、読んで理解できる唯一の翻訳であること、そして何よりも日本の開発者は実践的なガイダンスを重視する傾向があるため、本書を応用すれば大きな成果をもたらすと信じているからです。本書が日本の開発者のセキュリティの底上げにつながることを願っています。

また、本書の「日本語版のための前書き」では、日本語版が刊行されることの喜びとともに、日本がソフトウェア開発で世界のリーダーとなると信じ、期待していること、そして、セキュリティにおいては日本人が持つ文化や価値観が大いに活かされるだろうと述べています。また、自筆によるカタカナのサインも添えられています。