［国内］
SANSとNRIセキュア、セキュア・プログラミング・スキル認定試験を12月より国内で実施

開発会社に、アプリケーション脆弱性を生む原因の根本的解消を呼びかける

（2008年07月01日）

　米国The SANS Instituteと同組織の国内活動拠点を置くNRIセキュアテクノロジーズは7月1日、セキュリティに配慮したプログラミングの知識・スキルを認定する「GIAC Secure Software Programmer試験」（以下、GSSP試験）の実施を今年12月より日本国内で開始すると発表した。両社によると、同試験は、セキュア・プログラミング・スキルに特化した、世界で唯一の認定試験であるという。

　GSSP試験は、SANSが実施・運営している情報セキュリティ従事者向けの認定であるGIAC（Global Information Assurance Certification）の一分野として新たに加えられたもの。両社は同試験を、アプリケーション・エンジニアやプログラマーなど、アプリケーション開発に携わる技術者のセキュア・プログラミングに関する知識・スキルを客観的に証明する指標として、多くの専門家の協力により開発されたものと説明している。

　SANSは、情報システム・セキュリティ侵害を引き起こすアプリケーションの脆弱性の発生要因の1つとして、セキュリティに考慮したプログラミングが十分になされていないことを挙げている。同社は、これを防止するためには、セキュリティに配慮したプログラミングができる人材を育成し、アプリケーションの開発当初からセキュリティ欠陥のより少ないプログラミングをすることが重要だとしている。

　GSSP試験は、2007年8月の米国ワシントンD.C.での初実施以降、全米各地、英国、ベルギーで実施され、試験問題の精査や翻訳などの作業を経て、日本でも実施されることになった。現在、世界で60以上の企業が同試験を活用し、技術者のスキルアップに取り組んでいるという。両社によると、国内での初回の試験は2008年12月13日を予定しており（受験料は5万7,000円）、年2回の実施を計画している。受験者は、開発言語を選択したうえで試験を受け、合格者にはGIAC認定が授与される。

　また、GSSP試験の実施と併せて、両社は、関連研修コースの実施、模擬問題の提供、組織内での独自レベル判定の仕組みの紹介（大規模開発企業向け）も行っていくとしている。

(Computerworld.jp)