2007年07月24日 05時00分 公開
特集/連載

脅威モデリングでWebアプリのセキュリティを強化するリスクを見積もる

周辺的なセキュリティのみに頼っていては、アプリケーションのセキュリティは保てない。

[Michael Cobb,TechTarget]

 企業の情報セキュリティ責任者は、保護しなければならないアプリケーションが実際どのように機能しているのかをきっちり理解していないことが多い。その結果、度を超したセキュリティコントロールが導入されたり、情報セキュリティが業務上のメリットどころか妨げになると見られがちな一因となる。一方で、開発者は時に、自分がアプリケーションに組み込みたいと思う機能がセキュリティ上どんな影響を与えるかを理解していない。

 セキュリティ対使い勝手の問題を解決するため、ほとんどの情報セキュリティ関係者は、ソフトウェア開発ライフサイクルにおけるセキュリティを業界として強化する必要があるとの認識で一致している。このプロセスの一環として、多数の開発チームが脅威モデリングに着手している。

脅威モデリングのメリット

 脅威モデリングによって開発者のセキュリティに対する意識が高まるだけでなく、アプリケーション設計と開発プロセスの一部としてアプリケーションセキュリティが組み込まれる。情報セキュリティ担当者と開発担当者の知識のギャップを埋める一助としても優れている。

 脅威モデリングはアプリケーション設計の段階で実行され、アプリケーションにとってのリスクを発見・評価する。アプリケーションにとっての潜在的脅威を見つけるため、アプリケーションがどんな資産や重要情報にアクセスするかを分類することも、これに含まれる。結果として、リリースバージョンまで残ってしまう脆弱性の数が減らせれば理想的だ。また、ソフトウェア設計のライフサイクルが進むほどセキュリティ問題対応のコストもかさむため、脅威モデリングはより良い製品の開発と顧客のアプリケーションに対する信頼向上に役立つだけでなく、予算的にもメリットがある。

ツールと手段

ITmedia マーケティング新着記事

news076.jpg

メディア化する企業が勝つ時代の動画マーケティングはどうあるべきか
見込み客の興味についての理解を深化させ、イベントの価値を最大化し、人々の注目を獲得...

news114.jpg

B2B企業のSEO記事コンテンツ制作、「外注に失敗」の経験が8割超――EXIDEA調査
SEOのノウハウはもちろん重要ですが、記事制作を外注するに当たっては、自社や業界のこと...

news027.jpg

さようならiPod Appleへの20年の貢献度を振り返る
ポータブルミュージック40年の歴史とともに、その偉業を振り返ってみましょう。