システム開発において、「脆弱性診断」はもはや欠かせない工程です。しかし、リリース直前のタイミングで重大なセキュリティリスクが見つかってしまうと、修正に多大なコストがかかり、開発スケジュールにも大きな影響が出ることは珍しくありません。また脆弱性診断には、ログ出力の扱いやアクセス権限などの設計部分は含まれず、開発者の知識に頼らざるを得ない領域もあります。
こうした現場の課題に向き合い、神戸デジタル・ラボ(以降KDL)ではセキュリティリスクとコスト、スケジュール遅延の可能性を低減するため、開発の初期段階からセキュリティに考慮する、「セキュア開発」に取り組んでいます。
セキュア開発チェックリストを公開した背景
私たちKDLの開発現場では、セキュアな開発を行うためのトレーニング受講やガイドラインの整備など、日々さまざまな工夫を凝らしています。しかしながら開発現場から、「プロジェクトの進行中は非常に多忙で、都度トレーニング資料を参照するのは手間がかかる」という声が寄せられていました。
「もっと簡単に、すぐ確認できるものがあれば──」
そんな現場のニーズに応える形で、開発時に手元ですぐ参照できるセキュア開発チェックリストを用意しています。本チェックリストは、そうした現場の課題に対し、プロジェクトの進行中も無理なく参照してトレーニング内容を実務で活かせるよう設計・作成したものです。このたび、日本のシステム開発現場におけるセキュア開発の普及に貢献すべく、本チェックリストを公開しました。
チェックリストの内容
本チェックリストは、OWASP ASVS(Application Security Verification Standard)のガイド群をベースに、当社KDLの開発実績や知見をもとに作成しています。
「入力値のバリデーションは行っているか」「機密データは適切に暗号化されているか」「ログに機密情報が出力されていないか」といった基本的な項目から、開発の実務に即した実践的なチェック項目まで網羅しています。業務の中で使いやすいように、項目ごとに分かりやすく整理しています。
※対象のOWASPセキュリティ標準および実践ガイドは下記のとおりです。
・OWASP Application Security Verification Standard(OWASP ASVS)
・OWASP Mobile Application Security Verification Standard(OWASP MASVS)
・OWASP Top 10 Proactive Controls
・OWASP Cheat Sheet Series
KDLのセキュア開発体制と実績
本チェックリストは、私たちKDLの開発チームが日頃から活用しているツールの一部です。当社が社内外に提供する「セキュア開発トレーニング」の項目を網羅しており、セキュア開発実現のための簡易ツールとしてご活用いただけます。
当社ではすべての開発者がセキュア開発トレーニングを受講しており、セキュリティを意識した開発を習慣化しています。その結果、リリース前の脆弱性診断で修正が必要となるシステムの割合が30%削減されるなど、具体的な成果も上がっています。
セキュリティ対策を開発段階から!
KDLのセキュア開発はどのように始めたのか
詳しくはこちら:https://www.kdl.co.jp/blog/2019/04/security-assessment-shiftleft/
まずはチェックリストを試してみてください
セキュリティは後回しにするほど、リスクもコストも膨らみます。
早い段階での対策が、より安心で、よりスムーズな開発を実現します。
- 「セキュア開発が、気になってはいるけれど、何から手を付ければいいのかわからない」
- 「開発現場でセキュア開発をどのように普及させたらよいのかわからない」
そんな方は、現場目線で作られたこのチェックリストをぜひお試しください。
プレスリリース
Web開発の現場ですぐに使える「セキュア開発チェックリスト」を無償公開
開発段階からセキュリティ対策を組み込む文化の醸成を支援
詳しくはこちら:https://www.kdl.co.jp/news/2025/06/secure-dev-checklist/
