|
|
1 2 3 次のページ
|
|
最後に実施する「セキュリティ対策」とは
|
不正アクセスやウイルスなど、IT社会におけるセキュリティの脅威は、一向に沈静化の兆しを見せない。システム開発の発注を行う側としても、発注指示を受けてシステム開発を行う側としても、セキュリティの確保は非常に気掛かりな点であろう。
実際、以下のようなやり取りに思い当たる節はないだろうか。
- 発注者:このアプリケーション、当然セキュリティも万全ですね。
- 開発者:脆弱性スキャンツールによるセキュリティテストを実施しますから大丈夫です。
この会話で危惧すべきは、発注側は「開発者任せ」、開発者は「スキャンツール任せ」で、両者とも「これで大丈夫」と思ってしまっていることだ。後付けのセキュリティ対策のみで、対象システムに必要とされるセキュリティレベルが本当に保持できるかが明確でない。では一体、誰が「セキュリティリスク」に向き合うべきなのだろうか。
今回はアプリケーションのセキュリティを確保するために開発者が意識して取り組むべき事項や、開発の現状を鑑みた上で、発注者が意識して取り組むべき事項についても解説する。
|
あらためて「セキュリティ」を考える
|
「セキュリティ」といわれた場合、まず何を思い浮かべるだろうか。「ファイアウォール」「ウイルス対策ソフト」「データ暗号化」「認証」「攻撃者」などがあるだろう。他にも多くのキーワードを思いつくのではないだろうか。
しかし、これらのキーワードやイメージばかりが先行し、本来の「セキュリティ」に対する取り組みを見失う傾向にあるように思えてならない。
「ウイルスは得体が知れないもの」「攻撃者は魔法を使ってシステムに侵入する」のような印象を持っており、情報セキュリティ対策に関しては、ツールや専門家に任せるしかないと思ってはいないだろうか。実際「アプリケーションのセキュリティ」というと、特別なことと捉え、敬遠する開発者が少なくないという。
しかし「セキュリティ」は独立した特別な存在ではなく、システム開発に欠かせない品質保持の一側面なのだ。「アプリケーションのセキュリティを確保する」こととは、アプリケーションが定義外・想定外の動作でも問題を引き起こさないようにすることなのである。
つまりセキュリティ対策とは「セキュリティ上の問題を引き起こすような不具合をなくすこと」だ。要は「バグ」を減らして(セキュリティ面の)品質を向上させるという、至極当然のことを行うだけである。他の誰でもなく、開発者こそが積極的にアプリケーションのセキュリティ向上に取り組まなければならないのだ。
|
1 2 3 次のページ
|
|
|
|
著者プロフィール
株式会社日本総研ソリューションズ 足羽 崇
2003年 慶應義塾大学大学院修了(基礎理工学専攻、物理学専修)。同年、株式会社日本総合研究所入社。プラットフォームのセキュリティ検査業務、Webアプリケーションの開発・保守業務を経て、現在は、株式会社日本総研ソリューションズにて、アプリケーション開発業務、Webアプリケーションのセキュリティ教育などに従事。
|
|
|
|