製品開発の工程において、セキュリティー上のリスクを検査する「セキュリティー・テスト」は極めて重要な項目である。しかし、製品の品質向上という本質的な目的を達成するためには、単にテストの工程で、ルーチンとして決められたものを実施するというだけでは不十分だ。テスト担当者だけでなく、設計や実装の担当者それぞれが、セキュリティー・テストの本質についてよく理解し、開発ライフサイクル全体で品質向上に取り組んでこそ大きな効果を上げることができる。
本連載では、セキュリティー・テストの中でも特に「ファジング」と呼ばれる手法に着目し、その位置付けと重要性、有効活用するために押さえておくべきポイントなどをオングスの杉山 貴章氏と情報処理推進機構(IPA)セキュリティセンター 職員 勝海 直人氏が解説する。
これまで本連載では、ファジングの特徴やテストを実施する上での留意点などについて紹介してきた。最終回となる今回は、実際に開発ライフサイクルの中にファジングを導入していくためのアプローチを考える。
ファジングを実施するにあたって、「ファジング・ツール」は欠かすことのできない存在である。ファジング・ツールはファジングを行うための専用のツールであり、主に次の三つの機能を持っており、一連の動作を繰り返し行うことでバグや脆弱性の検査を行う。
ツールを利用して比較的手軽に導入できることが利点であるファジングだが、製品開発のライフサイクルに新たに組み込んでいくためには検討すべき課題も存在する。一つは「ファジングの導入・運用に掛かる費用」である。開発ライフサイクルの中でファジングを実施するためにはどの程度の費用が必要で、それによってどれだけ…
ファジングを行うメリットの一つに、適切に利用すれば比較的少ない手間で高い効果を得ることができるという点である。製品開発においてファジングを導入することで得られる効果としては、主に次の二つを挙げることができる。
近年、製品の出荷後にセキュリティー上の安全性に関わるバグ注1や脆弱性注2)が発覚して大きな損害を被ったという事件が増えてきている。そのような事態を防止するためには、製品の開発工程の中でセキュリティー・テストを実施し、バグや脆弱性を確実に解消しておかなければならない。