2024.01.11
アジャイル ソフトウェア開発におけるセキュリティの確保
Citynow Asia は、世界中のクライアントにとって信頼できるアジャイル ソフトウェア サービス パートナーとして、アプリケーション セキュリティが今日の組織にもたらす計り知れない価値を認識しています。 私たちの取り組みは、ソフトウェア開発ライフサイクルのあらゆる側面に本質的に組み込まれた厳格な情報セキュリティから始まります。
組織全体のセキュリティ文化
セキュリティは深く浸透しており、机上だけでなくチーム全体で積極的に推進されています。 年次トレーニング、ワークショップ、脅威シミュレーションにより、上級リーダーから各開発者に至るまで継続的な認識が促進されます。 すべての配信プロジェクトで指定されたセキュリティ チャンピオンがガバナンスを監督します。 堅牢な情報セキュリティ ポリシーは、行動規範、インシデント対応、リスク管理を枠組み化し、基盤を築きます。
明確に定義された安全な SDLC ステージ
弊社は、ISO 27001 標準に準拠した 6 段階のソフトウェア開発ライフサイクル (SDLC) に従っており、その範囲は要件分析、システム設計、スプリント実装、テスト、展開、メンテナンスです。 セキュリティの責任は各フェーズの関連チームにマッピングされ、セキュリティ アーキテクト、DevSecOps エンジニア、SOC アナリストなどの役割をアプリケーションの配信に具体化します。
設計における脅威のモデリングと軽減
開発スプリントが開始される前に、弊社のアーキテクトとセキュリティ アナリストは、脅威モデリングと呼ばれる集中的なデザイン スプリント ワークショップを実施します。 アプリのアーキテクチャとユーザーストーリーを攻撃者の視点から見ると、SQL インジェクションや不正アクセスなどの脅威が、DREAD や STRIDE などの技術によって体系的に発見されます。 重大度の評価に基づいて、優先修正に関する開発チームのアクション プランが作成されます。 修復セキュリティのユーザー ストーリーがバックログを補います。
厳格な安全なコード開発
構築フェーズでは、入力検証、暗号化、エラー/例外処理、逆シリアル化を含む、体系化されたコーディングのベスト プラクティスが適用されます。 コミット前にピアコードをレビューして欠陥を検査します。 CI/CD パイプラインに挿入された自動静的アプリケーション セキュリティ テスト (SAST) ツールは、最新のビルド バージョンをスキャンし、ポリシー違反のあるリリースを集中バグ トラッカーにブロックして必須の修正を行います。
厳格なセキュリティテスト
機能テストと並行して、弊社の熟練した QA チームは、シナリオベースの手動侵入演習とネガティブ テストを実施して、コーナーケースの弱点を見つけます。 ステージング環境では、Web アプリ脆弱性スキャナーが各スプリント後に非侵入的な方法で XSS などの攻撃をシミュレートします。 導入後の定期的な動的スキャンにより、外部の攻撃者の視点がアプリに提供されます。 結果は、配信チームの次のスプリント脆弱性バックログに反映されます。
24時間365日の本番環境の脅威監視
実稼働環境のクライアント アプリケーションに継続的な可視性と脅威保護を提供するために、弊社は次のような主要なクラウドベースのセキュリティ ソリューションを利用しています。
SQL インジェクション、クロスサイト スクリプティング攻撃をブロックする Web アプリケーション ファイアウォール
-
DDoS攻撃を吸収するCloudflareのようなCDNサービス
-
セキュリティの設定ミスを検出する脆弱性スキャナー
-
ウイルスやトロイの木馬から守るマルウェア対策ツール
-
タイムリーなサイバー脅威アラートを受信するためのサードパーティの脅威インテリジェンス フィード
さらに、弊社の情報セキュリティ スタッフは、上記の検出ソースを 24 時間 365 日体制で積極的に監視し、クライアントの DevOps チームと調整して修復を行うことで、インシデントに迅速に対応します。
私たちは、将来的にこれらの監視責任をより堅牢な方法で引き継ぐために、独自の高度な SOC 機能を構築するオプションを評価しています。
この自動セキュリティ プラットフォームと手動アラートの組み合わせにより、Citynow Asia は、ソリューションが開発環境から導入後の環境に移行した後でも、クライアントに完全なアプリケーション セキュリティを提供します。
人、プロセス、テクノロジーにわたるこの 360 度のセキュリティ カバレッジを通じて、Citynow Asia は提供するソフトウェアの基盤に回復力を組み込みます。 弊社は、将来の顧客が弊社の安全な SDLC 実践や ISO 27001 準拠などの認証を監査することを歓迎します。