2008年12月22日 07時30分 UPDATE
特集/連載

カットオーバー直前の監査は逆効果ソフトウェアのセキュリティ対策は開発プロセス上で行うべし

ソフトウェア開発の各工程でセキュリティの検証および修正作業を徹底すれば、解析の価値と効果を高められる。

[Wayne Ariola,TechTarget]

 セキュリティのためのコード監査には、1つ大きな問題がある。この監査によって解決される問題よりも、引き起こされる問題の方が多くなりがちなことだ。

 1回の監査調査ですべての問題を洗い出そうとすると、開発者を途方に暮れさせることになる。開発チームに、既知の問題がずらりと並んだリストを提供するだけで、実際の改善にはほとんどつながらないという結果になりやすい。

 実際、ソフトウェア開発ライフサイクル(SDLC)の終わり近くに監査ツールを使い、潜在的な問題が大量に検出されると、プロジェクトマネジャーは、そのコードを修正するためにプロジェクトを遅らせるか、コードをそのままにした状態で市場にリリースするかを判断しなければならないという苦しい立場に立たされる。

 しかも、既知の脆弱性がある製品を市場にリリースすると、企業は非常に深刻なリスクにさらされる。脆弱性が1つでも悪用され、その脆弱性が以前に検出されていたにもかかわらず修正されていなかったという確かな証拠がある場合、企業は多大な金銭的代償を払うことになるだろう。管理の在り方を厳しく糾弾されることは言うまでもない。

 集中管理型のポリシーベースのセキュリティアプローチを取れば、セキュリティ脆弱性を防ぐことができる。なぜなら、開発プロセスの最終段階でセキュリティの確保を図るのではなく、企業が求めるセキュリティ要件に沿ってコードが作成されていくからだ。ポリシー管理、ワークフロー管理、ワークフロー最適化を利用して、開発プロセスの中で、自動化されたセキュリティ対策を進めることで、開発チームはプロジェクトの進ちょくやチームの生産性に支障をきたすことなく、コードのセキュリティを大幅に向上させることができる。

この記事が気に入ったらTechTargetジャパンに「いいね!」しよう

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news027.jpg

インターネット広告PMP取引市場規模、2021年には約3倍に――サイバーエージェント子会社が予測
サイバーエージェント子会社のAJAは国内PMPの市場動向調査を実施。その結果を発表した。

news025.jpg

電通ダイレクトフォース、コマース機能付きインタラクティブ動画を制作できる「EICHI ビデオコマース」を提供
電通ダイレクトフォースは、コマース機能を実装したインタラクティブ動画を制作・配信で...

news019.jpg

電通など3社、Instagram動画広告の制作・配信ソリューションを提供
電通デジタルと電通、TWIN PLANETの3社は、「Instagram」の動画広告を制作・配信するソリ...