2008年12月22日 07時30分 UPDATE
特集/連載

カットオーバー直前の監査は逆効果ソフトウェアのセキュリティ対策は開発プロセス上で行うべし

ソフトウェア開発の各工程でセキュリティの検証および修正作業を徹底すれば、解析の価値と効果を高められる。

[Wayne Ariola,TechTarget]

 セキュリティのためのコード監査には、1つ大きな問題がある。この監査によって解決される問題よりも、引き起こされる問題の方が多くなりがちなことだ。

 1回の監査調査ですべての問題を洗い出そうとすると、開発者を途方に暮れさせることになる。開発チームに、既知の問題がずらりと並んだリストを提供するだけで、実際の改善にはほとんどつながらないという結果になりやすい。

 実際、ソフトウェア開発ライフサイクル(SDLC)の終わり近くに監査ツールを使い、潜在的な問題が大量に検出されると、プロジェクトマネジャーは、そのコードを修正するためにプロジェクトを遅らせるか、コードをそのままにした状態で市場にリリースするかを判断しなければならないという苦しい立場に立たされる。

 しかも、既知の脆弱性がある製品を市場にリリースすると、企業は非常に深刻なリスクにさらされる。脆弱性が1つでも悪用され、その脆弱性が以前に検出されていたにもかかわらず修正されていなかったという確かな証拠がある場合、企業は多大な金銭的代償を払うことになるだろう。管理の在り方を厳しく糾弾されることは言うまでもない。

 集中管理型のポリシーベースのセキュリティアプローチを取れば、セキュリティ脆弱性を防ぐことができる。なぜなら、開発プロセスの最終段階でセキュリティの確保を図るのではなく、企業が求めるセキュリティ要件に沿ってコードが作成されていくからだ。ポリシー管理、ワークフロー管理、ワークフロー最適化を利用して、開発プロセスの中で、自動化されたセキュリティ対策を進めることで、開発チームはプロジェクトの進ちょくやチームの生産性に支障をきたすことなく、コードのセキュリティを大幅に向上させることができる。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news143.jpg

IMJ、フライシュマン・ヒラード・ジャパンとB2B向けデジタルマーケティングプログラムを開発
アイ・エム・ジェイはフライシュマン・ヒラード・ジャパンと共同で、B2B向けデジタルマー...

news104.jpg

サンリオ特設サイトにプッシュ通知機能、Mobifyが提供
ドーモは、WebサイトからスマートフォンやPCにプッシュ通知を送る「Webプッシュサービス...

news009.gif

「インストール」はゴールではない――アプリ広告の効果をどう検証するのか?
重要度を増すモバイルアプリにおいて、ビジネス視点から見て合理的なプロモーション効果...