今回は、開発フェーズのうち外部委託やユーザーガイドの書き方、工場での生産管理、新技術への対応などについての検討事項を解説する。

外部委託先に求めるセキュリティー対策

 開発フェーズにおけるセキュリティー対策では、自社の開発チーム内だけでなく、製品開発に関わる社外の環境についても考慮しなければならない。特に組み込みシステムの開発では、大規模化や開発コスト抑制などの目的で開発を社外に委託するケースが少なくない。その場合、委託先にも自社と同様の取り組みを求める必要がある。

 しかし現実には、双方の文化の違いなどによって同じ基準をそのまま適用するのが難しいことも多い。地理的に離れた場所で開発が行われる場合には、コミュニケーション不足などの原因によりセキュリティー意識の徹底が不十分なケースもある。コーディングやレビューの実装ルールに関する意識が行き渡っていなければ、ミスが見過ごされるなどして脆弱性が入り込む余地を与えてしまうかもしれない。それに加えて、スキルや知識が十分でないエンジニアが設計や実装に携わる可能性も考えなければならないだろう。

 開発を外部委託する場合には、上記のような事情を念頭に置いた上で、内部で策定したセキュリティー・ルールに基づく取り組みを委託先にも求めていくことが重要となる。その際に注意すべきポイントとしては次のような項目が挙げられる。

  • システムの土台部分の設計を委託する場合には、設計ルールや選定基準を明示する
  • ソフトウエアの実装部分を委託する場合には、コーディング・ルールやレビュー手法を事前に明確化する
  • 取り組みが要求通り実施されていることを監査し、不十分であれば改善を求めることができる体制を整備する
  • セキュリティー対策に関する検収条件を設定する
  • 委託先とのコミュニケーションを密にすることで、実態に即したセキュリティー・ルールの運用が行えるように配慮する
  • 問題発生時の責任範囲を契約で明確化する

 委託先に求めるセキュリティー対策でも、基本的な部分は本連載で紹介している取り組みの実践が有効だと言える。その上で部門ごとの外部委託の形態に合わせて、委託先が様々な形で開発に関与できる体制を構築することが大切である。