2007年07月24日 05時00分 公開
特集/連載

リスクを見積もる脅威モデリングでWebアプリのセキュリティを強化する

周辺的なセキュリティのみに頼っていては、アプリケーションのセキュリティは保てない。

[Michael Cobb,TechTarget]

 企業の情報セキュリティ責任者は、保護しなければならないアプリケーションが実際どのように機能しているのかをきっちり理解していないことが多い。その結果、度を超したセキュリティコントロールが導入されたり、情報セキュリティが業務上のメリットどころか妨げになると見られがちな一因となる。一方で、開発者は時に、自分がアプリケーションに組み込みたいと思う機能がセキュリティ上どんな影響を与えるかを理解していない。

 セキュリティ対使い勝手の問題を解決するため、ほとんどの情報セキュリティ関係者は、ソフトウェア開発ライフサイクルにおけるセキュリティを業界として強化する必要があるとの認識で一致している。このプロセスの一環として、多数の開発チームが脅威モデリングに着手している。

脅威モデリングのメリット

 脅威モデリングによって開発者のセキュリティに対する意識が高まるだけでなく、アプリケーション設計と開発プロセスの一部としてアプリケーションセキュリティが組み込まれる。情報セキュリティ担当者と開発担当者の知識のギャップを埋める一助としても優れている。

 脅威モデリングはアプリケーション設計の段階で実行され、アプリケーションにとってのリスクを発見・評価する。アプリケーションにとっての潜在的脅威を見つけるため、アプリケーションがどんな資産や重要情報にアクセスするかを分類することも、これに含まれる。結果として、リリースバージョンまで残ってしまう脆弱性の数が減らせれば理想的だ。また、ソフトウェア設計のライフサイクルが進むほどセキュリティ問題対応のコストもかさむため、脅威モデリングはより良い製品の開発と顧客のアプリケーションに対する信頼向上に役立つだけでなく、予算的にもメリットがある。

ツールと手段

ITmedia マーケティング新着記事

news143.jpg

Google トレンドで探る新型コロナウイルスに関連する検索動向
新型コロナウイルスの脅威が高まる中、国内の関心はどのように移り変わっているのか。「G...

news113.jpg

新型コロナウイルス感染拡大に関する不安 「経済への打撃」が「多くの死者が出ること」を上回る
McCann Worldgroupが世界14カ国で実施した意識調査の結果、政府の対応体制が「整っている...