2008年12月22日 07時30分 UPDATE
特集/連載

カットオーバー直前の監査は逆効果ソフトウェアのセキュリティ対策は開発プロセス上で行うべし

ソフトウェア開発の各工程でセキュリティの検証および修正作業を徹底すれば、解析の価値と効果を高められる。

[Wayne Ariola,TechTarget]

 セキュリティのためのコード監査には、1つ大きな問題がある。この監査によって解決される問題よりも、引き起こされる問題の方が多くなりがちなことだ。

 1回の監査調査ですべての問題を洗い出そうとすると、開発者を途方に暮れさせることになる。開発チームに、既知の問題がずらりと並んだリストを提供するだけで、実際の改善にはほとんどつながらないという結果になりやすい。

 実際、ソフトウェア開発ライフサイクル(SDLC)の終わり近くに監査ツールを使い、潜在的な問題が大量に検出されると、プロジェクトマネジャーは、そのコードを修正するためにプロジェクトを遅らせるか、コードをそのままにした状態で市場にリリースするかを判断しなければならないという苦しい立場に立たされる。

 しかも、既知の脆弱性がある製品を市場にリリースすると、企業は非常に深刻なリスクにさらされる。脆弱性が1つでも悪用され、その脆弱性が以前に検出されていたにもかかわらず修正されていなかったという確かな証拠がある場合、企業は多大な金銭的代償を払うことになるだろう。管理の在り方を厳しく糾弾されることは言うまでもない。

 集中管理型のポリシーベースのセキュリティアプローチを取れば、セキュリティ脆弱性を防ぐことができる。なぜなら、開発プロセスの最終段階でセキュリティの確保を図るのではなく、企業が求めるセキュリティ要件に沿ってコードが作成されていくからだ。ポリシー管理、ワークフロー管理、ワークフロー最適化を利用して、開発プロセスの中で、自動化されたセキュリティ対策を進めることで、開発チームはプロジェクトの進ちょくやチームの生産性に支障をきたすことなく、コードのセキュリティを大幅に向上させることができる。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news085.jpg

位置情報ゲームのビジネス化を支援、ジオロジックが「位置ゲー収益化キット」を発表
ジオロジックは、スマートフォン用アプリの開発者向けに位置情報ゲームのビジネス化を支...

news079.jpg

バスの予約から決済、乗車までスマートフォンで――アイリッジとイーコンテクストが専用アプリ提供
アイリッジとイーコンテクストは、全国のバス事業者に向けたスマートフォン用アプリ決済...

news074.jpg

「ポンパレモール」から「eBay」への出品を今秋開始、国内出品者の越境EC進出を手軽に
「ポンパレモール」を運営するリクルートライフスタイルとeBay、tensoの3社は、越境ECに...