« マイクロソフト、2010年12月のセキュリティ情報を公開 | Main | イカ娘がオーズの世界も侵略成功(笑) »

2010.12.17

開発ガイドラインだけではセキュリティは保てない

ITproの連載「間違いだらけのセキュリティ設計」で「間違い3「開発ガイドラインに頼る」」という記事が載りました。
IPAなどのガイドラインを渡しても実装してくれる保証がまったくない、SQLインジェクションやXSSなどを知っていても「どうやって対策するか」を知らない、などの問題があるため、ベテランが手本を見せる必要がある、というところは同意です。

しかし、日本でこれが実現できるかどうかはかなり微妙かもしれません。
この業界、人身売買で一山いくらで顧客に送りつけられ、ベテランは単価が高いので人員リソース管理のみやらせ、プログラマが消耗品扱いになっているところがままあります。
新しい攻撃手法が常に開発されている、ということは常時対策を覚えていく必要がある、ということになりますから、時間が経てば建つほど最初に乗り越えるハードルが高くなり、経験の積み上げが非常に重要になってくるということを意味します。

にもかかわらず、ベテランからプログラミングを取り上げてしまうとこういった技術の伝承すら怪しいことになりますし、最新の攻撃手法と対策に対応できない、という状況になり非常に悪循環です。
今のように受託開発中心で行くなら、最新の情報を常に学んでいるベテランのプログラマに相当の価値が出てくるはずなのですが、実際にはそうなってはいません。
はっきり言って、多数の利用者を持つパッケージやサービスの方がセキュリティの実装レベルが高いのですから、中途半端に自社独自のシステムを立ち上げる必要があるのか、ちゃんと検討した方が良いでしょう。

|

« マイクロソフト、2010年12月のセキュリティ情報を公開 | Main | イカ娘がオーズの世界も侵略成功(笑) »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/27186/50321417

Listed below are links to weblogs that reference 開発ガイドラインだけではセキュリティは保てない:

« マイクロソフト、2010年12月のセキュリティ情報を公開 | Main | イカ娘がオーズの世界も侵略成功(笑) »