アプリケーションセキュリティ維新の三傑

「シフトレフト」のポスターのページはこちらへどうぞ。

 変なタイトルだと思うしょうが、これはアプリケーションセキュリティ強化において大切な概念を説明するためのキーワードです。では、早速その意味と背景を探っていきたいと思います。

「明治維新の三傑」

 ご存知のように150年程前の日本に、歴史の大きな流れの中で政治や経済や社会等の様々な分野において国を抜本的に変えようとする「明治維新」という時代がありました。その明治維新をもたらした当時の革命的な政治運動の中に「明治維新の三傑」と言われる三人の歴史的な人物がいました。

 現在、日本の歴史の教科書にも登場し、幅広く認知されている三人は、長州藩の木戸孝允(KidoTakayoshi)、薩摩藩の大久保利通(Ookubo Toshimichi) と西郷隆盛(Saigo Takamori)です。大成功をもたらした倒幕運動と明治時代開始後の最初の10年間の政治の中でなくではならない存在でした。

図1:「明治維新の三傑」の人物。

 明治維新は単なる改革ではありません。非常に重要なポイントは、当時の日本は列強の脅威に直面していて独立した国として生き残れるかの瀬戸際にあり、革命的な改革が社会や政治等幅広い範囲に渡り、必要だったことです。

「アプリケーションセキュリティ維新の三傑」

 当時の日本と現在のアプリケーションセキュリティの状況には類似点が多くあります:

  • アプリケーションセキュリティ強化の実現のために三つの大事な要素があります。「Shift Left」と「Security by Design」と「DevSecOps」です。アプリケーション開発において、それは三傑の人物のように、不可欠な要素です。
  • 急ピッチで発展するサイバー攻撃において、日本だけでなく全世界は大規模化する経済的な被害、社会問題や国家安全等に至るまで年々悪化する脅威に直面しています。
  • ICT業界における多くの製品の欠陥はセキュリティ品質に対する低い意識が根本原因です。そこで、セキュリティ強化の改善を実現するためには、よりセキュアな製品のデザイン、開発および運用の仕方において抜本的な改革が必要だといっても過言ではありません。

 「アプリケーションセキュリティ維新の三傑」はアプリケーションセキュリティ強化が必要不可欠であることを普及促進する際に役立つイメージだと考えています。

図2:「アプリケーションセキュリティ維新の三傑」はアプリケーションセキュリティ強化の大切さを伝える便利な概念です。

目標:アプリケーションセキュリティ強化の普及促進

 アプリケーションセキュリティ強化の普及促進をなぜ行う必要があるのでしょうか。理由は次の通りでです:

  • ほとんどの攻撃はアプリケーションレイヤで行われているのに、アプリケーション開発ではその意識が非常に薄いです。
  • 絶えず悪化するサイバーセキュリティの状況を本気で考えた場合、アプリーションレベルの対策が必要です。アプリケーションセキュリティを普及させることが対策にもつながります。IT技術とセキュリティ専門家の問題だけではなく、アプリケーションの開発段階における組織的なビジネスの問題でもあります。
  • ICT業界での製品のセキュリティと品質改善において明治維新のような大きな改革が必要です。
  • 改革を言うのは簡単ですが維新のような大規模な改善を実現するのは非常に難しいです。専門家の机上の空論では、その他大勢の人の志に訴えることはできません。
  • IT現場からビジネスの経営層のトップまでの理解と具体的なサポートを得るために、説得力のあるストーリーが必要です。
  • そのストーリーのために、共通思想としての「シフトレフト」、「Security by Design」 と「DevSecOps」はとても役立つ共通言語です。

 「維新の三傑」と対比させることでセキュリティの専門家以外の人にもその大切さを理解してもらえると考えています。この三つの専門用語が一般的に普及することを願っています。

 では「Shift Left」と「Security by Design」と「DevSecOps」という三傑はどのようにアプリケーションセキュリティ強化の普及促進に貢献できるのか、こちらのアプリケーションセキュリティのポスターのページに概念の背景とその意味を紹介しています。ポスター一枚の中にストーリーの詳細とその意味が解説してあります。

ディパオロ・ロベルト (Author: Roberto Di Paolo)
Version 1.0 2018/5/3, last update 2018/9/7, ©ACROSEC Inc., All Rights Reserved.