TOUCH THE SECURITY Powered by Security Service G
皆さん、こんにちは。 PXT セキュリティ本部 SO1部 技術1 Gの松本です。 今回は、「SSDF(読み方:エスエスディエフ)」について、詳しくない方でもわかるよう、要点をまとめた記事になります。読み終える頃には、
「SSDFとは何か/何に使うのか/エンジニアである自分の現場にどう影響するか」
がある程度イメージできるはずですので、是非読んでみてください。
なお、本記事は開発現場のエンジニアだけでなく、
SOCやセキュリティ製品導入、脆弱性診断まで、幅広い業務の方々が少なからず該当する
、と私は考えています。
エンジニアとしてチャレンジしたい方
パーソルクロステクノロジー社で実現しませんか?
SSDFとは
SSDF(Secure Software Development Framework:セキュア・ソフトウェア開発フレームワーク)とは、NIST(米国標準技術研究所)の指針で、ソフトウェアの脆弱性リスクを軽減するための実践(プラクティス)について、ソフトウェアの開発ライフサイクル(SDLC)にあわせて記載された文書です。特定ツールに依存せず、各現場のプロセスに合わせて取り込む考え方となっています。
SSDFの対象範囲は、システム、製品、サービス、ライブラリを構成するソフトウェアを対象に適用が可能です。また、委託開発や既製品などのパッケージソフトウェアも含み、ソフトウェア全般に幅広く適用されます。
なお、日本国内では2025年3月に経済産業省から、「セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)」が公表され、現場に落とし込む具体的な導入手順・考え方が整理されました。本記事では、こちらのガイダンス案をベースに、SSDFについて解説していきます。
出典:)「セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)」
図1 セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理の表紙:経済産業省、セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)より抜粋
SSDFの基本構造
SSDFは4グループ(PO/PS/PW/RV)に分けられ、それぞれでプラクティスと、さらに詳細なタスクが記載されています。各グループに記載されている内容は以下の通りです。
1.組織の準備(PO):組織レベルでセキュアな開発を行うための人材確保、役割・責任、安全な開発環境、評価基準について記載。
2.ソフトウェアの保護(PS):ソフトウェアの全ての構成要素を、改ざんや不正アクセスから保護する事について記載。
3.セキュアなソフトウェアの作成(PW):リリース時に脆弱性を最小限に抑えた、安全性の高いソフトウェアの作成に必要な要素について記載。
4.脆弱性対応(RV):リリース後の継続的な脆弱性調査、評価・優先度付け・修正・根本原因分析などについて記載。
各グループのプラクティス、およびタスクでは、「達成状態」(何ができているか)を評価軸に、現場のプロセスへ後付けで統合できるよう記載されているのが特長です。
表1 SSDFのプラクティス、タスクの上位構成:経済産業省、セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)より抜粋
導入の進め方
次に、SSDFの導入方法ですが、以下のような導入のプロセスとしてまとめられています。
図2 SSDFの導入プロセス:経済産業省、セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)より抜粋
現場の状況は様々であるため、それらを前提条件に、SSDFの項目の内、どの内容をどのレベル感まで達成するかを定め、実施することが望ましいです。
SSDFをどこでどう使うのか?
ここまでで、SSDFがどういったものか何となくわかったと思います。これらは、主に開発現場での利用を想定されています。例えば以下のような使い方です。
・現場でバラバラとなっている手順を共通のものにするために、 SSDFの項目に合わせて標準化する。
・既存の社内規定や開発現場のルールをSSDFの項目にマッピングし、重複や抜け漏れを可視化する。
その他にも、発注側が受注側に対し、どこまでセキュア開発をやっているか確認し、供給側が抜け漏れなく説明するためにSSDFという同じ物差しを使う、といったことも想定されます。
以下では、より具体的な例を1つ挙げてみましたので、よりイメージが湧くと嬉しいです。
※筆者は開発現場畑ではないため、あくまで例として読んでいただければ幸いです。
例:レビュー後の対応品質向上
課題:開発現場ごとに設計レビュー後の対応品質にばらつきがあった。
実施内容:SSDFの項目に合わせて、何が不足しているか把握し、対策を実施する。
<現場での実施ステップ>
①設計レビューにおける現在の現場の方法を洗い出す。
②SSDFのタスクや、タスク達成レベル の記載内容を確認し、現状とギャップを整理。
③現場でも実践可能なレベルを見定め、実施項目を決定。
例:SSDF PW.2.1のタスク達成レベルには、「設計者以外の第三者(レビュアー適格者ではない)によるレビュー記録」と「設計レビューの指摘事項に対する対応履歴」の資料や情報がある、と記載されている。現場では、後者の履歴が担当者間のチャットにしかないため、対応履歴の管理を行う仕組みを導入する。
<参考>タスク達成レベル:セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)の付録、参考資料2 SSDF導入ガイダンスタスク整理シートに掲載
開発以外の現場では何が変わる?
さて、上記では開発環境においてSSDFがどう使われるかを解説しましたが、実際にはそれ以外(例:SOC・運用監視 /脆弱性診断/セキュリティ製品導入)の現場においても、SSDFが導入されると影響を受ける可能性があります。
以下、簡単ではありますが例を示したいと思います。
| 現場 | SSDF 導入前の状態 | SSDF 導入後の状態 | 紐づく SSDF のタスク |
|---|---|---|---|
| SOC・運用監視 | 検知後の対応が担当者依存で実施されている | セキュリティ調査種別を決定した上で、検知→一時二重化作業→影響度再判定の各対応をチケットベースで一元管理 | RV |
| 脆弱性診断 ※発注者側 |
発見した脆弱性の修正確認の証跡がない | 発見の脆弱性修正を検収の完了条件に定める | PS |
| 脆弱性診断 ※受注者側(診断実施者)例 |
CVSS+一般的推奨の指摘項目の提示 | ・根本原因 ・具体対処(設定/変更) ・セキュアデフォルト | PW |
| セキュリティ製品導入 | ・機器の初期設定はデフォルト状態 ・設定変更内容の根拠や理由が不明確なまま実施されている(例:初期導入後のチューニング作業) | ・セキュアデフォルト ・設定理由の明確化(不必要機能・動作の制御/制限) ・責務分担の明確化(運用・監視・ログロール) | PW・PS |
表2 開発現場以外におけるSSDF導入前後の変化
なお、SSDFはセキュア開発の実施事項を網羅的にまとめたものであるため、すでに当たり前に実施している内容も多く含まれています。また、脆弱性診断の受注者側について、正確には診断対象のシステムを持つ発注者側がSSDFを導入することで、診断の実施要件が変わり、踏み込んだ観点での診断を要求される、といったことが考えられます。
上記では、主にIT分野を例にしましたが、自動車など機電の分野においても、SSDFのプラクティスは守るべき重要なフレームワークとして活用されるものと考えられます。
SSDF導入で起こりえる誤解
最後に、SSDFを導入するにあたって起こりえる誤解について解説します。
ツールを導入したのでSSDFに対応できた
- ツールを導入した=SSDF対応ではありません。
- SSDFは何が達成できているか(結果)が重要です。ツールは手段に過ぎず、ツールを利用した結果、SSDFのタスクに適応し、セキュアなソフトウェア開発が達成(=脆弱性リスクの軽減)できている必要があります。
SSDFの各項目は100%導入が必須である
- SSDFの各項目は100%導入が必須ではありません。
- 目的はあくまで「脆弱性リスクの軽減」であり、盲目的にSSDFを100%導入することは必須ではありません。SSDFに則った一定のセキュリティ対策は必要と考えますが、組織や開発現場の状況を踏まえリスクとトレードオフが必要となります。従って、組織や開発現場のリスクとコストに応じて、目標レベルと理由を明確化し、段階的に導入すればよいです。
自分たちは開発していないから関係ない
- 自分たちは開発していないとしても、関係があります。
- SOCや脆弱性診断、製品導入でもPS/RV/PW/POに該当する実務があるため、説明責任や調達要件の観点で直接影響する場合があります。
まとめ
いかがでしたでしょうか。SSDFの概要や導入について、現場へ影響などもイメージが多少膨らんだのではないでしょうか。日本でのSSDFの普及はまだまだこれからです。この記事が少しでも皆さんの参考になれば幸いです。
参考情報
経済産業省、セキュア・ソフトウェア開発フレームワーク(SSDF)導入ガイダンス案(中間整理)
一般社団法人ソフトウェア協会、セキュアソフトウェア開発フレームワーク(SSDF)日本語翻訳版
エンジニアとしてチャレンジしたい方
パーソルクロステクノロジー社で実現しませんか?
パーソルクロステクノロジー社では現在、
Javaエンジニアやシステムエンジニアといったシステム開発人材として活躍したい方を募集しています。
パーソルクロステクノロジー社では、充実した環境で
データ人材としてのキャリアを歩むことができます。
- システム領域の「戦略」から「実行」までを担当
- 未経験者でも安心の教育制度(集合研修、e-learning研修、リモート学習など)
- 仕事とプライベートを両立できる環境
気になる方はぜひ下の詳細ページをクリックしてみてください。
