Azure での安全な開発のベスト プラクティス
この一連の記事では、クラウド向けのアプリケーションを開発するときに考慮すべきセキュリティ アクティビティと制御について説明します。 Microsoft セキュリティ開発ライフサイクル (SDL) と、ライフサイクルの各フェーズで考慮すべきセキュリティの質問と概念について説明します。 目標は、ライフサイクルの各フェーズでより安全なアプリケーションの設計、開発、デプロイに使用できるアクティビティと Azure サービスの定義を手助けすることです。
この記事に記載されている推奨事項は、Azure のセキュリティに関する Microsoft の経験とお客様の経験に基づいています。 これらの記事は、開発プロジェクトの特定のフェーズで考慮すべきことの参考として使用できますが、すべての記事を少なくとも一度は最初から最後まで読み終えることをお勧めします。 すべての記事を読むことで、プロジェクトの早い段階で見逃していた可能性のある概念が取り入れられます。 製品をリリースする前にこのような概念を実装すると、安全なソフトウェアを構築し、セキュリティ コンプライアンス要件に対処し、開発コストを削減するために役立ちます。
これらの記事は、セキュリティで保護された Azure アプリケーションをビルドしてデプロイするすべてのレベルのソフトウェア設計者、開発者、およびテスター向けのリソースです。
概要
セキュリティはあらゆるアプリケーションの最も重要な側面の 1 つであり、正しく理解するのは簡単なことではありません。 さいわいなことに、Azure には、クラウド内のアプリケーションをセキュリティで保護するのに役立つ多くのサービスがあります。 これらの記事では、より安全なコードの開発とより安全なアプリケーションのクラウドへのデプロイを支援する、ソフトウェア開発ライフサイクルの各段階で実装できるアクティビティと Azure サービスについて説明しています。
セキュリティ開発ライフサイクル
安全なソフトウェア開発のためのベスト プラクティスに従うには、プロジェクトの方法論 (ウォーターフォール、アジャイル、または DevOps) に関係なく、要件分析からメンテナンスまでのソフトウェア開発ライフサイクルの各フェーズにセキュリティを組み込む必要があります。 注目を浴びるデータ侵害や運用上のセキュリティの欠陥の悪用があった今、開発プロセス全体を通してセキュリティに対処する必要があることを理解している開発者が増えています。
開発ライフサイクルでの問題の解決が遅くなるほど、その修正にかかるコストが増えます。 セキュリティの問題も例外ではありません。 ソフトウェア開発の初期フェーズでセキュリティの問題を無視すると、前のフェーズの脆弱性がその後の各フェーズに継承される可能性があります。 複数のセキュリティの問題と侵害の恐れが、最終製品に累積されます。 開発ライフサイクルの各フェーズにセキュリティを組み込むことで、問題を早い段階でキャッチでき、開発コストを削減することができます。
ライフサイクルの各フェーズで安全なソフトウェア開発のプラクティスの実現に使用できるアクティビティと Azure サービスを、Microsoft セキュリティ開発ライフサイクル (SDL) のフェーズに従って紹介します。
SDL フェーズは次のとおりです。
これらの記事では、SDL フェーズを設計、開発、デプロイにグループ分けしています。
組織のセキュリティ チームに参加させる
組織には、開発ライフ サイクルの最初から最後までのセキュリティ アクティビティを支援する正式なアプリケーション セキュリティ プログラムがある場合があります。 組織にセキュリティとコンプライアンスのチームがある場合は、アプリケーションの開発を開始する前に必ずそれらのチームに参加させてください。 SDL の各フェーズで、見逃したタスクがないかどうかをチームに確認してください。
多くの読者には参加させるセキュリティまたはコンプライアンスのチームがない可能性があることは理解しています。 これらの記事は、SDL の各フェーズで考慮する必要のあるセキュリティの質問と決定の際のガイダンスとして役立ちます。
リソース
次のリソースを使用すると、セキュリティで保護されたアプリケーションの開発の詳細を確認でき、Azure 上のアプリケーションを保護することができます。
Microsoft セキュリティ開発ライフサイクル (SDL) - SDL は、Microsoft が提供するソフトウェア開発プロセスであり、開発者がより安全なソフトウェアを構築するのに役立ちます。 これにより、開発コストを削減しながら、セキュリティ コンプライアンス要件に対応することができます。
Open Worldwide Application Security Project (OWASP) - OWASP は、自由に利用できる Web アプリケーションのセキュリティの分野の記事、方法論、ドキュメント、ツール、およびテクノロジを作り出しているオンライン コミュニティです。
Pushing Left, Like a Boss - 開発者がより安全なコードを作成するために実行する必要のあるさまざまな種類のアプリケーションのセキュリティ アクティビティの概要を説明する、一連のオンライン記事です。
Microsoft ID プラットフォーム - Microsoft ID プラットフォームは、Microsoft Entra ID サービスおよび開発者プラットフォームの進化版です。 これは多彩な機能を備えたプラットフォームであり、認証サービス、オープン ソース ライブラリ、アプリケーションの登録と構成、完全な開発者向けドキュメント、サンプル コード、およびその他の開発者向けコンテンツによって構成されています。 Microsoft ID プラットフォームでは、OAuth 2.0 や OpenID Connect など業界標準のプロトコルがサポートされています。
Azure セキュリティに関するベスト プラクティスとパターン - Azure を利用してクラウド ソリューションを設計、デプロイ、管理するときに使用するセキュリティのベスト プラクティスのコレクション。 ガイダンスは、IT プロフェッショナル向けに用意されています。 これには、セキュリティで保護された Azure ソリューションの構築とデプロイを行う設計者、アーキテクト、開発者、テスト担当者が含まれます。
Azure のセキュリティとコンプライアンスのブループリント - Azure のセキュリティとコンプライアンスのブループリントは、厳重な規制と基準に準拠するクラウドの機能を活用したアプリケーションの構築と起動に役立ちます。
次のステップ
次の記事では、セキュリティで保護されたアプリケーションを設計、開発、およびデプロイするのに役立つセキュリティ制御とアクティビティが推奨されています。