皆さん、こんにちは。
今週もソフトウェアテスト、テスト自動化に関するニュース記事をご紹介していきたいと思います。
今回は国内、海外ニュース2記事をご紹介回したいと思います。
■記事内リンク
「国内ニュース」
・Security Days 3/9~3/11開催
「海外ニュース」
・ソフトウェアテストにはどのデータを使用する必要がありますか?
■国内ニュース
□Security Days 3/9~3/11開催
https://f2ff.jp/secd/2022-spr/tokyo
こちらは、3/9(水)~3/11(金)に最新のセキュリティ対策に関するカンファレンスが開催される内容となります。
カンファレンスでは、最新のセキュリティ対策の他、セキュリティ問題などの動向についてうかがえる内容とのことです。
昨年は、ランサムウェアが猛威を振るい、本年はウクライナやロシアとの情勢からサイバー攻撃など事例もニュースでよく見るようになりました。
コロナ禍によるリモートワークが続く中、VPNなどを狙う事例も増えてきていると思います。
Security Daysでは、3日にわたり上記のような内容に対しての最新のセキュリティ対策などがうかがえると思います。
◇Security Days概要
Security Daysの概要は以下となります。
| ・名称: | Security Days Spring 2022 https://f2ff.jp/secd/2022-spr/tokyo |
| ・会期: | 東京会場(一部セッションはライブ配信)】2022年3月9日(水)-11日(金) |
| ・会場: | 【東京会場】JPタワーホール&カンファレンス(KITTE 4F) |
| ・主催 / 運営: | 株式会社ナノオプト・メディア |
| ・参加料金: | 展示会・セミナーともに無料(事前登録制) |
| ・事前登録ページ: | URLリンク |
◇Security Daysセッション ピックアップ
Security Daysの主なセッションを以下にピックアップ致しました。
どの日も、興味深そうな内容となっています。
・3/9(水)
| タイトル | 登壇者 |
| サイバー攻撃のためのOSINT~ | (一社)日本ハッカー協会 代表理事 杉浦 隆幸 氏 |
| 耐量子計算機暗号の標準化と研究の最新動向 | 日本銀行 金融研究所企画役 宇根 正志 氏 |
| 中小企業における情報セキュリティの最新動向と対策 | (独)情報処理推進機構 セキュリティセンター 企画部 中小企業支援グループ 研究員 江島 将和 氏 |
戦略的かつ組織的なサイバーセキュリティの実現へ ~国際標準勧告「X.1060」と「セキュリティ対応組織の教科書」の最新情報~ | 日本セキュリティオペレーション事業者協議会(ISOG-J) 阿部 慎司 氏 |
| デジタルサプライチェーンにおける脅威と組織に求められる対応 | (株)ラック サイバー・グリッド・ジャパン シニア・リサーチャー 仲上 竜太 氏 |
着目すべきは「攻撃者の動向」と「守るべきその対象」 これからの時代に求められるセキュリティ対策の視点 | (特非)日本ネットワークセキュリティ協会 / (株)サイバーセキュリティクラウド 技術広報 中山 貴禎 氏 |
・3/10(木)
| サイバーセキュリティ政策の動向~総務省の取組を中心に~ | 総務省 サイバーセキュリティ統括官室 参事官補佐 和田 憲拓 氏 |
| 改正個人情報保護法の下でのCookieの実務 | 牛島総合法律事務所 弁護士 影島 広泰 氏 |
| 強靭なソフトウェアを作る経営が企業の成長をもたらす ~DXに欠かせないソフトウェアの重要性を理解する~ | (一社)ソフトウェア協会 理事 / Software ISAC共同代表(グローバルセキュリティエキスパート(株) CSO) サイバーセキュリティ統括官室 参事官補佐 萩原 健太 氏 |
| なりすましメール対策のためにすべきメール設定 | JPAAWG /(株)インターネットイニシアティブ ネットワーク本部 サービス推進部 櫻庭 秀次 氏 |
| 社員の力を活用しよう!社内バグバウンティー制度をやってみた | エヌ・ティ・ティ・コミュニケーションズ(株) 情報セキュリティ部/NTT Com-SIRT・担当課長 林 郁也 氏 |
| 暗号資産の観点から見たサイバー脅威の動向 | Chainalysis Japan(株) Senior Solutions Architect 重川 隼飛 氏 |
・3/11(金)
産業サイバーセキュリティ政策の最新動向 | 経済産業省 商務情報政策局サイバーセキュリティ課長 奥田 修司 氏 |
耐量子計算機暗号ソフトウェア・ハードウェアの耐タンパー実装技術の最新動向 | 東北大学 電気通信研究所・教授 本間 尚文 氏 |
サイバー攻撃事案からの学びと対応 | 内閣官房 内閣サイバーセキュリティセンター 重要インフラグループ 内閣参事官 結城 則尚 氏 |
OTペネトレーションテスターが語る! 知っておきたい制御システムのリスクポイントと対策アプローチ | 技術研究組合制御システムセキュリティセンター / 東北インフォメーション・システムズ(株) GICSP / CISSP / GPEN 目黒 有輝 氏 |
パスワードのいらない世界へ ~FIDO認証の最新状況と今後の展開~ | ヤフー(株)サービス統括部 ID本部 本部長 / FIDOアライアンス ボードメンバー・FIDO Japan WG 副座長 伊藤 雄哉 氏 |
5Gセキュリティの標準化活動/各国政府の取り組み/日本の取り組み | (株)KDDI総合研究所 / 研究マネージャー TTCセキュリティ専門委員会 / 委員長 三宅 優 氏 |
ご興味のある方は、Security Daysの公式ページにアクセスしてみてはいかがでしょうか。
https://f2ff.jp/secd/2022-spr/tokyo
■海外ニュース
□ソフトウェアテストにはどのデータを使用する必要がありますか?
https://builtin.com/software-engineering-perspectives/software-testing-data
こちらの記事は「builtin.com」に掲載されていた内容となります。
ソフトウェアテストで使用するデータについて、個人情報にも関する注意事項等、まとめられていましたのでご紹介したいと思います。
◇初めに
テストデータを生成するには、主に2つの方法があります。
本番データの匿名化と偽のデータの作成です。
優れたソフトウェアテストは優れたテストデータなしでは不可能です。
・テストデータについて
ソフトウェアテストでは通常、ユーザーインターフェイスでの情報の表示方法を再確認するか、バックエンド計算の精度を再確認するかにかかわらず、データが必要です。
実稼働データにできるだけ類似したテストデータを取得することは、実際のシナリオを模倣するために重要ですが、プライバシーの懸念など、開発者にとって課題となる可能性があります。
テストデータは、コードのバグをチェックするためだけでなく、パフォーマンス、スケーリング、ユーザーエクスペリエンスなど、アプリケーションの他の重要な側面にも使用されます。
しかし、「良い」テストデータを正確に特徴づけるものは何でしょうか。
開発者は、理想的には、機密情報や個人を特定できる情報を含むなど、本番データの問題を共有することなく、本番データのように動作する必要があると述べています。
ほとんどの企業は、テストデータを取得する主な方法として、偽のデータを最初から作成する方法と、本番データを取得してすべての機密情報を取り除く方法の2つに依存しています。
それぞれのアプローチには長所と短所がありますが、開発者がテストデータを取得するためにどの方法を使用すべきかは、状況によっても異なります。
◇個人を特定できる情報は機密情報になる可能性がある
本番データからテストデータを導出することは、直感的で効果的なアプローチです。
結局のところ、企業はすでにそれにアクセスしており、本番環境で見られるタイプのデータアプリケーションを模倣する既存の本番データのようなものはありません。
しかし、このアプローチには重大な課題が伴います。
最も深刻なものの1つは、個人ユーザー情報を社内の従業員やハッカーに公開するリスクです。
欧州の一般データ保護規則は、医療保険の相互運用性と説明責任に関する法律(HIPAA)の規制と同様に、金融業界を含む企業がユーザーのデータとやり取りする方法に影響を与えます。
「プライバシー」
これらの考慮事項は、企業にとって法的にも倫理的にも重要ですが、個人情報を企業に引き渡すことは重要な信頼形態であるため、顧客との良好な関係を維持するためにも重要です。
◇生産データのクリーニングは、複数のステップからなるプロセスである
セキュリティ上の懸念がない場合でも、本番データを使用可能なテストデータに変換することは容易ではありません。
最初のステップは、本番データベース内のすべての機密データを見つけることです。
これは非常にトリッキーで、見過ごされがちなステップです。
通常、企業は数百または数千のデータベーステーブルを持っている可能性があります。
そのすべてのデータを調べて機密情報を特定することは、必ずしも簡単な作業ではありません。
また、データベース内のデータ関係を追跡することも困難です。
多くの場合、データにはテーブル間で他のデータへのリンクがあります。
開発者が機密情報の匿名化を開始するとき、それらの関係を維持するか破棄するかを決定する必要があります。
関係を維持する必要がある場合は、結果のテストデータの匿名性が低くなる可能性があります。
一貫性と匿名性の間には、常にこのトレードオフがあります。
開発者がこれらのデータ関係を保持したい場合、データ関係を維持すると、テストデータの匿名性が低下するリスクがあります。
すべてのテストデータベースの社会保障番号が偽物である場合でも、データベース全体の各ユーザーの行動パターンは保持されます。
これらのパターンが十分に具体的である場合、個人について多くを学ぶことができる可能性があります。
◇偽のデータを生成することには利点がある
小規模なアプリケーション(または大量のデータを使用しないアプリケーション)の場合、スクリプトを記述して偽のデータを生成したり、手動で生成したりすることもできます。
幸いなことに、開発者はツールとライブラリを使用して、偽のデータの生成を支援できます。
Pythonは、たとえば、何千もの偽の顧客名の作成に役立つライブラリを提供します。
サードパーティのAPIは通常、テストデータも提供するため、開発者は本番環境でそれらのAPIに移行する前に接続をテストできます。
統合をテストするためにサードパーティ企業からデータが提供されると、開発者が自分で行うのは大変な作業になる可能性があるため、これは素晴らしいことです。
SEIでは、開発者は定期的に株式注文が正しく実行されているかどうかをテストします。
これには、ブローカーや市場で処理される注文を追跡することが含まれます。
これらの手順の多くは、テストプロセスに参加する時間がないサードパーティサービスとの相互作用をシミュレートすることを含みます。
◇より多くのテストを書くことは、あなたのテストデータ戦略を導くことができる
テストデータが最初に生成される方法に関係なく、開発者は、変化するコードベースとデータベースでそのデータを最新の状態に保つために作業を行う必要があります。
列の追加や削除など、開発者がデータベーステーブルの構造を変更するためにコードを変更するたびに、テストデータも更新する必要があります。
結果として、テストデータを開発プロセスに組み込む方法に関する決定は継続的なプロセスです。
大変な作業になる可能性がありますが、より多くのエッジケースをカバーするためにアプリケーションが追加のデータを必要とするかどうかを判断する良い方法は、より多くのテストを作成することです。
追加のテストケースでは、アプリケーションのさまざまな部分に触れるさまざまな種類のデータが必要になるため、テストを作成するプロセスでは、データのギャップが自然に明らかになります。
開発者は、テストケースの作成から得た洞察と、本番データの匿名化の難しさに関する考慮事項を組み合わせて、テストデータの生成方法を決定できます。
本番データに多くの機密情報(特にデータベース全体で複雑な関係を持つ情報)が含まれている場合、データを匿名化する方法の決定は非常に複雑になる可能性があります。
偽のデータを合成することは優れた代替手段ですが、特にそれらの複雑なデータの関係がテストにとって重要であり、複製する必要がある場合は、その方法も多くの作業になる可能性があります。
最終的に、データのテストに関する決定は、アプリケーションと開発者のユースケースに基づいて行われます。
合成データと匿名化された本番データの両方が機能しますが、それぞれの方法はプロジェクトの特定の状況に関連して評価する必要があります。
■最後に
今回は、以上の国内ニュース、海外ニュースを取り上げてみました。
次週も、ソフトウェアテスト、テスト自動化に関するニュースをご紹介したいと思います。
最後まで見て頂き、ありがとうございました。
図解即戦力 情報セキュリティの技術と対策がこれ1冊でしっかりわかる教科書
