SDL

カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了

本記事は、Microsoft Security のブログ“The Countdown Begins: Support for Windows XP Ends on April 8, 2014” (2013 年 4 月 8 日公開) を翻訳した記事です。 2013 年 4 月 8 日を迎え、Windows XP Service Pack 3 (SP3) の延長サポート終了まで 1 年を切りました。そこで今日は、サポート終了がもたらす影響をお客様にご理解いただけるように、この変化に伴う重要なセキュリティ関連問題についてご説明したいと思います。 Windows XP のリリースから 12 年が経ち、世界は大きく変わりました。インターネットを使用するユーザーは 3 億 6,100 万人から 24 億人以上へと増加しました。私たちは電子メール、インスタントメッセージング、ビデオ通話、ソーシャルネットワーキング、そしてさまざまな Web ベースのデバイス一元型のアプリケーションを使って、社会とつながりを持つインターネット市民の到来を目の当たりにしてきました。インターネットは、社会に溶け込んでいくにつれて、悪意のある行為の恰好の標的にもなりました (これはマイクロソフトセキュリティインテリジェンスレポートからも明らかです)。インターネットの急速な進化を考慮し、サイバー犯罪の一歩先を行くためにソフトウェアのセキュリティを進化させる必要がありました。急激に変化する脅威からユーザーを保護するために、マイクロソフトは通常、ビジネス製品と開発者向け製品についてはリリース後 10 年間、ほとんどのコンシューマー製品、ハードウェア製品、マルチメディア製品についてはリリース後 5 年間にわたってサポートを提供しています。 マイクロソフトで長きにわたって確立されてきたプロダクトサポートライフサイクルに従って、2014 年 …

カウントダウン開始: Windows XP のサポートは 2014 年 4 月 8 日に終了 Read More »

安全なソフトウェア開発が改めて重視 – SDL 導入の手始めに役立つガイドライン

近頃、セキュリティ業界の会合やお客様との会話の中で、マイクロソフトのセキュリティ開発ライフサイクル (SDL) [i] が改めて注目を集めていると感じます。インターネット空間におけるサイバー攻撃がますます高度化かつ巧妙化する中、組織の資産をセキュリティ製品だけでは守っていけない状況は多く、ソフトウェアそのものの脆弱性をなくすこと、特に自社開発製品についてきちんと見直しを行い、より強固なソフトウェアやサービスに変えていくことが求められています。 図 1: SDL 開発プロセス   2002 年提唱の「信頼できるコンピューティング」から 10 年、マイクロソフト製品は常に研究者や悪意のあるクラッカーのハッキング対象となってきました。長年に亘るそのような状況にも鍛えられ、また徹底した SDL により、マイクロソフト製品のセキュリティは確実に向上しています。下図 2 は製品ごとの、1000 台の PC における感染 PC 台数を示していますが、より新しい製品ほど、感染率が下がっていることがわかります。 図 2: Windows OS 毎の感染率 (Security Intelligence Report v.11 より)   何から始めれば良いか? Microsoft SDL の簡単な実装というドキュメントを公開しています。ソフトウェア開発に完全な SDL フレームワークを導入するには、相応のリソースやコストが必要で、時間もかかります。このドキュメントでは SDL に準拠するための必要最小限のプロセスを説明しています。 たとえば「SDL 最適化モデル」は、以下 5 つの機能領域に基づいて構成されており、各領域におけるプラクティスと機能について 4 段階の成熟度 (基本、標準、高度、動的) を定義しています。このドキュメントでは、”高度” レベルの成熟度を実現するために必要なタスクとプロセスを重点的に説明しています。 トレーニング、ポリシー、および組織の機能 要件と設計 実装 検証 リリースと対応 …

安全なソフトウェア開発が改めて重視 – SDL 導入の手始めに役立つガイドライン Read More »

Secureity Development Lifecycle

小野寺です。 本日、Security Development Lifecycle (SDL) Guidance が公開されました。  http://www.microsoft.com/downloads/details.aspx?FamilyID=2412C443-27F6-4AAC-9883-F55BA5B01814&displaylang=en 思い起こせば、2001年の頃に始まった SD3+C (Secure by Design,  by Default and in Deployment + Communication)が、発展して SDL になりました。現在の形になるまで、紆余曲折がいろいろあったのですが、現在は、Microsoftの色々な製品の色々な開発スタイル・プロセスに融合して製品・サービスのセキュリティを確保する基礎となっています。Windows Vista も、今回公開された SDL v3.2をベースに開発がおこなわれています。 現在は、オンライン版も書籍も英語ではありますが、ぜひ一読いただきたい資料です。(個人としては、ぜひ日本語化したいと思っています)今月末に開催される、RSA Conference 2008 に、この SDL を担当している Eric Bidstrup を招聘していて SDLを如何にして浸透させたか等を話してもらうことになっています。同時通訳でお送りしますので、開発、品質管理、プロジェクト管理等に係る方にはお勧めです。   マイクロソフトのセキュリティ開発ライフサイクル―より安全なソフトウェアの構築  https://rsacon2008.smartseminar.jp/public/session/view/60  このあたりの情報も、今後おりを見て日本語サイトで公開していきたいな・・・