MENU
サイバー攻撃から企業を守る、情報セキュリティの総合サービス | Proactive Defense
  1. ホーム
  2. ブログ
  3. トレーニング
  4. 安全なシステム開発はこうして生まれる──KDLのセキュア開発の取り組み

安全なシステム開発はこうして生まれる──KDLのセキュア開発の取り組み

トレーニング
ガイドラインセキュリティ対策脆弱性

神戸デジタル・ラボ(KDL)では、2025年6月に「セキュア開発チェックリスト」を公開しました。
このチェックリストは、システム開発におけるセキュリティの取り組みを標準化し、開発現場で活用しやすいことを目的に作成したものです。

しかし、私たちのセキュア開発への取り組みは、チェックリストの公開にとどまりません。
「セキュリティは後付けではなく、最初から組み込むもの」という理念のもと、KDLでは開発プロセス全体においてセキュリティを意識するための取り組みを実施しています。

本記事では、KDLがどのようにセキュア開発を実践しているか、その一端をご紹介します。

目次
Webサイトのセキュリティ対策できてますか?
脆弱性診断なら Proactive Defenseにお任せ。今すぐサービス詳細を見る →

開発プロセスの各フェーズでセキュリティを考慮

KDLではセキュリティサービスの提供だけでなく、Webシステムやアプリの受託開発事業も行っています。セキュア開発を実践するため、各フェーズごとにあるべきセキュリティ対策をまとめたガイドラインを社内ポータルに整備しています。

「何を考慮すべきか」「どのタイミングで、どのような対策を検討すべきか」を明文化することで、セキュリティの意識を全開発者で共有し、着実な改善につなげるための指針としています。

下記に内容の一部をご紹介します。

■ 前提

  • 全開発者が「セキュア開発トレーニング」を受講し、日々の実装で実践する
    入力値検証、エンコード・エスケープ、アクセス制御など、脆弱性を防ぐ実装ルールを徹底する

■ 見積・提案・要件定義フェーズ

  • 「作って終わり」ではなく、保守・運用も含めた提案を重視。脆弱性対応やアップデート、ログ確認など将来的な作業も考慮した提案を実施する
  • プロジェクトの特性・リスクに応じて、お客様との要件のすり合わせ時点で「リスクプロファイリング」によるセキュリティ要件整理、OWASP Top 10 など外部ガイドラインを参照した対策の方向性を整理する

■ 設計フェーズ

  • システムのリスクに見合った設計となっているかを確認する
  • Webアプリやスマホアプリにおけるセキュリティ要件を、ASVS(Application Security Verification Standard)/MASVS(Mobile Application Security Verification Standard)のチェックシートで確認する
  • ログ・監視・バックアップ設計もこの段階で検討し、運用を見据えた対応を行う
  • クラウドを利用する場合は、利用するクラウド公式の設定ガイドを参照する
  • この時点で脆弱性診断についても早めに日程調整を実施する

■ 開発フェーズ

  • セキュア開発トレーニングで習得した内容が実践できているか確認する
  • 機密情報やログの取り扱いルールを明確にし、開発時点から漏洩リスクを最小化する
  • コードレビューを実施し、早期に改善を進める

■ リリース前

  • セキュリティ観点での納品前チェック(インフラ・システム設定)をレビューにて実施する
  • 脆弱性診断を実施し、リリース直前のセキュリティチェックを確実に行う
  • 保守運用体制の確認も行い、リリース後の体制を整える

■ 運用フェーズ

  • 脆弱性対応や診断支援などを継続的に実施する
  • 重大インシデントが発生した場合の初動体制も明確化、Proactive Defenseチームと連携する

以上、社内ガイドラインの一部をご紹介させていただきました。

なお、本内容はすべての開発プロジェクトにおいて網羅的・完全なセキュリティ対策を保証するものではありません。システムごとに求められる対策や考慮点は異なるため、状況に応じた判断と継続的な見直しが重要であることを補足いたします。

セキュアなシステム開発をご支援する Proactive Defense のサービス

KDLでは、セキュリティの専門家としての知見に加え、開発現場での実体験に根ざした対策の提案を行っています。システム開発とセキュリティの両面から支援できる体制があるからこそ、実用的で現場にフィットするアドバイスが可能です。

セキュア開発トレーニングのご紹介

Proactive Defense では、開発者がセキュリティの基本を理解し、日々の実装に活かせるよう、セキュア開発トレーニングをサービス提供しています。

  • 現場で頻出する脆弱性(入力値検証、認証・認可、XSS、CSRFなど)を中心に構成
  • 開発者が考えたトレーニングメニューで開発現場で明日から使える知識を習得可能

新卒・中途入社のエンジニア教育としてはもちろん、セキュア開発文化をチームに根づかせたい企業さまにもおすすめです。

セキュア開発トレーニングの詳細を確認する

脆弱性診断サービスのご案内

第三者の視点でセキュリティを確認したいというニーズにお応えして、Proactive Defense ではプロフェッショナルによる脆弱性診断サービスを提供しています。

  • IPAなどのガイドラインに準拠した診断基準
  • 診断だけでなく、修正方針のアドバイスや再診断にも対応

Webアプリケーションだけでなく、WebAPIやプラットフォーム等の診断も可能です。
「この仕様でも診断できる?」「スケジュール的に間に合う?」といったご相談もお気軽にどうぞ。

脆弱性診断サービスの詳細を確認する

まとめ

安全なシステムは、一朝一夕では作れません。

だからこそKDLは、開発の各段階にセキュリティを丁寧に組み込む取り組みを、今後も継続していきます。
こうした取り組みやナレッジを、社内にとどめず、より多くの開発現場に広げていければと考えています。

あわせて読みたい
リリース前に慌てない!セキュアなシステム開発のためのチェックリストを公開 システム開発において、「脆弱性診断」はもはや欠かせない工程です。しかし、リリース直前のタイミングで重大なセキュリティリスクが見つかってしまうと、修正に多大な…

著者:原田 智美
Engagement Leadチーム所属。デザインに興味があるマーケ担当。

トレーニング
ガイドラインセキュリティ対策脆弱性
  • URLをコピーしました!
目次