STOP Inc.

セキュア開発と脆弱性対策

2026.04.28
#セキュアコーディング #セキュア開発 #セキュリティテスト #セキュリティ診断 #受託開発 #脅威モデリング #脆弱性対策
セキュア開発と脆弱性対策

セキュア開発と脆弱性対策

現場に溶け込むセキュア開発の型

セキュリティは「追加作業」ではなく、設計・実装・運用の各所に小さく埋め込むのが続けやすい形です。プロダクトバックログには機能以外のセキュリティ要求を「受け入れ基準」として並走させます。例として、ユーザー登録の受け入れ基準に「入力バリデーションがサーバー側で実装されている」「監査ログに最小限の個人情報のみが残る」を入れる、といった具合です。

スプリントごとに「最小限のセキュリティ作業」を固定化します。たとえば以下のようなチェックをPRテンプレートに組み込み、コードレビューの一部として消化します。

  • 外部入力の正規化と許可リスト化は実装済みか
  • 出力時のエスケープが文脈別(HTML/JS/URL)に適切か
  • 機密値(鍵・トークン)がハードコードされていないか
  • 依存パッケージの更新差分に既知の脆弱性が含まれていないか

生成AIは補助輪として使うと効果的です。設計レビューで想定攻撃を洗い出すときにChatGPTやClaudeで「このAPIに対する権限昇格のパス」をブレインストーミングし、Geminiでテストケースの骨子を生成、実装時はCopilotで安全なパターン(プリペアドステートメント、CSRF対策済フォーム)を呼び出す、といった流れです。注意点はただ一つ、機密情報は絶対に投入しない運用ルールと監査ログの整備です。

脆弱性を減らす実装ディテール

認証・認可

  • パスワードはストレッチング済みハッシュで保存し、再設定リンクは単回・短寿命にする
  • セッション固定化対策(ログイン時のセッショントークン再発行)とMFAを段階的に導入
  • 権限はロール+属性で最小化し、リソース単位のサーバー側検証を徹底

入力と出力

  • 入力は許可リスト方式で正規化し、サイズ・型・範囲で落とす
  • 出力は文脈別エンコード。HTMLはエンティティ化、JSはJSONエスケープ、URLはパラメータ化
  • ブラウザ向けヘッダーを標準化(HSTS、CookiesにSecure/HttpOnly、適切なCSP、フレーム制御)
  • ファイルアップロードは拡張子とMIMEを二重検査し、サンドボックスで検証して別ドメインから配信

依存関係と秘密管理

  • 依存ライブラリは厳格にピン留めし、SBOMを生成してビルド成果物に添付
  • 週次で更新ウィンドウを設け、自動PRと安全なロールバック手段を用意
  • 秘密情報は環境ごとに秘匿ストアで管理し、リポジトリ・イメージに混入させない。資格情報は短寿命・最小権限で

ログ・監査・エラーハンドリング

  • 構造化ログでユーザーID/トレースID/要求元IPを記録し、個人情報は原則マスク
  • 意図しない例外は500系に統一し、詳細は内部ログにのみ出力
  • 不正兆候(連続失敗、レート超過、異常遷移)をメトリクス化し、しきい値で通知

サプライチェーンと運用の守り

CI/CDと署名

  • 全コミットに署名、PRは2名以上レビュー必須
  • PR時に静的解析と依存スキャン、メインブランチへのマージでコンテナとIaCをスキャン
  • ビルド済みアーティファクトを署名し、デプロイ時に検証。環境変数は最小公開、シークレットはランタイム注入

本番運用の基本線

  • ネットワークはアウトバウンド最小化、管理プレーンは分離
  • 実行環境は読み取り専用イメージ+非特権ユーザーで稼働。健全性チェックとレート制御を前段で実施
  • 監視はログ・メトリクス・トレースの三点セットで相関し、24/7で一次通知を自動化

パッチSLAと演習

  • 重大: 72時間以内、高: 7日以内、中: 30日以内で修正。例外はリスク受容の記録を残す
  • 四半期ごとにインシデント演習。トリアージ1時間以内、暫定対処24時間以内、影響分析と恒久対策72時間以内の目標

身近な企業活用例:オンライン予約サービス(従業員35名)の再起

あるオンライン予約サービスを運営する小規模チームでは、依存ライブラリの更新遅延とフロントのXSS、さらにAPIキーの誤コミットが重なり、深夜の緊急対応と信用低下を招きました。開発は8名、SREは2名。スピード優先の結果、セキュリティ作業が後回しになっていた状況です。

改善では、まずPRテンプレートにセキュリティ項目を追加し、PRで静的解析と依存スキャンを必須化。ビルド時にSBOMを生成して保存、APIキーは秘匿ストアに移行し、レポジトリへの混入をプリコミットで検出するようにしました。フロントはCSPを段階適用(レポートモード→強制)し、テンプレート出力の文脈別エスケープをライブラリ化。バックエンドは権限チェックをミドルウェアで集中管理し、重要エンドポイントのリソース単位認可を追加しました。

生成AIは設計とテストで活用。ChatGPTとClaudeで想定攻撃シナリオのメモを作成し、GeminiでXSSや権限昇格を想定したE2Eテストの雛形を生成。Copilotは安全なDBアクセスやCSRF対策済みフォームの定型を呼び出す用途に限定し、全てをレビュー必須としました。機密情報は投入禁止、やり取りはログに残す運用です。

結果として、重大脆弱性の平均修正時間は10日から48時間へ短縮、依存更新の週次成功率は90%超、XSSの再発はゼロを継続。アラートのノイズはルール整備で半減し、オンコールの負荷も目に見えて下がりました。速度と安全の両立は、「小さな標準を日常にする」ことから実現できると実感した事例です。

受託開発での実装ポイント

要件定義から運用までの流れに、上記の「小さな標準」を最初から組み込むことが重要です。契約時に成果物として、脅威整理メモ、セキュリティ受け入れ基準、SBOM、運用ランブック、パッチSLA、監査ログ方針を明確化し、継続開発の中で更新し続ける前提を共有します。受託開発ソリューション事業では、開発速度・コスト・リスク許容度のバランスを踏まえ、実装と運用の双方で「壊れにくく、直しやすい」セキュアな仕組みを差し込むことが価値になります。

関連記事