資料の紹介
サイバー犯罪、サイバースパイ行為、サイバーテロなどのサイバー攻撃の目的は、知的財産や機密情報への不正アクセスから、新製品開発時の設計情報改ざんまで多岐にわたる。もしセキュリティー侵害を受ければ、企業の信用を著しく損なうだけでなく、顧客のプライバシーや安全、安心まで脅かされる。
セキュリティー対策は社内だけでなく、サプライチェーンまで含めたものでなければ十分とはいえない。メーカーがソフトウエアを外部調達する場合には、供給元にも体系的なセキュリティー検証を実施する必要がある。しかし、セキュリティー対策状況は供給元のソフトウエアベンダーによってまちまちなことが多い。メーカーはセキュリティー侵害の影響度を的確にベンダーに伝える必要がある。ベンダーも効果を的確に見極めてセキュリティー投資を行う必要がある。
本資料では、安全なソフトウエア開発の要件とソフトウエアベンダーのセキュリティー対策状況について、航空機関連のソフトウエア開発事例を基に解説する。コードの脆弱性への対処のみならず、エンジニアのトレーニングやオープンソースの取り扱いなど包括的な対策を行い体系化していく過程を紹介している。
