セキュリティ要件
発注元は、黙っていてもセキュアなものを作るだろうと期待しているが開発元は要件にない限り実装しない。そういった認識の齟齬が生まれているように 感じる。
要件にない限り実装しないとはいえ、最近では全くセキュリティを考慮していないものは作成されていないように見える。これは職務の知識から。それで も穴が出来てしまう原因は更に別の考察が必要になるが、ざっくりと以下のものを考えている。
- 開発者の知識不足脆弱性の知識を持っていないケースは多々ある。また、日々開発に追われる開発者はセキュリティを専門とする人間に比較してそのような知識を得るチャ ンスが少ない。また、その暇がないことも十分に考えられる。開発手法やマネジメントの問題でもある。
- 検査手法の知識不足これは単純。見つけることが出来ないから穴が空いたまま。ikepyon氏作成の「受入れテスト用セキュリティチェックリスト for Webアプリケーション」を見よ う。
- 法的責任の有無これは大きいと思う。現状ではソフトウェアのバグは信用の低下くらいにしか繋がっていない。信用の低下は大きなものではあるけれども、あくまで開発 元と発注元の関係でしかない。発注元と利用者が異なっている場合、利用者は開発元が同じだからと言ってそこを避けたりはしないものだし、特にWebアプリ ケーションでは開発元を知ることも少ないだろう。ソフトウェアに製造物責任法を適用できればいいと考える人は多いと思うのだが、何故かそういったものはな い。
ああ、発注元にもセキュリティの要件を書かせようという観点があるんだが、眠くなったのでまた今度。まとめにもなっていない。