アプリケーションセキュリティ維新の三傑

「シフトレフト」のポスターのページはこちらへどうぞ。

 変なタイトルだと思う人が多くいるだろうか。だが、これは、大切な概念を説明するためにあらわしたとても便利な言葉である。では、早速その意味と背景を探っていきたいと思う。

「明治維新の三傑」

 150年程前の日本に、歴史の大きな流れの中で政治や経済や社会等の様々な分野において国を抜本的に変えようとする「明治維新」という時代があった。その明治維新をもたらした当時の革命的な政治運動の中に「明治維新の三傑」と言われる三人の歴史的な人物がいた。

 現在、日本の歴史の教科書にも登場し、幅広く認知されている三人は、長州藩の木戸孝允(KidoTakayoshi)、薩摩藩の大久保利通(Ookubo Toshimichi) と西郷隆盛(Saigo Takamori)である。大成功をもたらした倒幕運動と明治時代開始後の最初の10年間の政治の中でなくではならない存在であった。

図1:「明治維新の三傑」の人物。

 明治維新は単なる改革ではない。非常に重要なポイントは、当時の日本は列強の脅威に直面していて独立した国として生き残れるかの瀬戸際にあり、革命的な改革が社会や政治等幅広い範囲に渡り、必要であったことだ。

「アプリケーションセキュリティ維新の三傑」

 当時の日本と現在のアプリケーションセキュリティの状況には類似点が多い:

  • アプリケーションセキュリティ強化の実現のために三つの大事な要素が要る。アプリケーション開発の際に、それは三傑の人物のように、「Shift Left」と「Security by Design」と「DevSecOps」という三つの不可欠な要素である。
  • 急ピッチで発展するサイバー攻撃において、日本だけでなく全世界は大規模化する経済的な被害、社会問題や国家安全等に至るまで年々悪化する脅威に直面している。
  • ICT業界における多くの製品の欠陥はセキュリティ品質に対する低い意識が根本原因である。そこで、セキュリティ強化の改善を実現するためには、よりセキュアな製品のデザイン、開発および運用の仕方において抜本的な改革が必要だといっても過言ではない。

 「アプリケーションセキュリティ維新の三傑」はアプリケーションセキュリティ強化が必要不可欠であることを普及促進するために便利で適切なイメージだ。

図2:「明治維新の三傑」のように「アプリケーションセキュリティ維新の三傑」はアプリケーションセキュリティ強化の大切さを伝える便利で、適切な概念である。

目標:アプリケーションセキュリティ強化の普及促進

 アプリケーションセキュリティ強化の普及促進をなぜ行うべきか。理由は次の通りである:

  • ほとんどの攻撃はアプリケーションレイヤで行われているのに、アプリケーション開発ではその意識が薄い。
  • 絶えず悪化するサイバーセキュリティの状況を本気で考えた場合、アプリーションレベルの対策が必要だ。アプリケーションセキュリティを普及させることが対策にもつながる。IT技術とセキュリティ専門家の問題だけではなく、アプリケーションの開発段階における組織的なビジネスの問題でもあるからだ。
  • ICT業界での製品のセキュリティと品質改善において明治維新のような大きな改革が必要だ。
  • 改革を言うのは簡単だが維新のような大規模な改善を実現するのは非常に難しい。専門家の机上の空論では、その他大勢の人の志に訴えることはできない。
  • IT現場からビジネスの経営層のトップまでの理解と具体的なサポートを得るために、説得力のあるストーリーが必要だ。
  • そのストーリーのために、共通思想としての「シフトレフト」、「Security by Design」 と「DevSecOps」はとても役立つ共通言語である。

 「維新の三傑」と対比させるとセキュリティの専門家以外の誰にでもその大切さが理解できるはずだし、この三つの専門用語が一般的に普及するであろう。

 どのように「Shift Left」と「Security by Design」と「DevSecOps」という三傑はアプリケーションセキュリティ強化の普及促進に貢献できるのか、こちらのアプリケーションセキュリティのポスターのページに概念の背景とその意味を紹介する。ポスターでこの一枚の中にストーリーの詳細とその意味が解説している。

ディパオロ・ロベルト (Author: Roberto Di Paolo)
Version 1.0 2018/5/3, last update 2018/5/4, ©ACROSEC Inc., All Rights Reserved.