SHOEISHA iD

※旧SEメンバーシップ会員の方は、同じ登録情報(メールアドレス&パスワード)でログインいただけます

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

最新イベントはこちら!

Data Tech 2024

2024年11月21日(木)オンライン開催

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けの講座「EnterpriseZine Academy」や、すべてのITパーソンに向けた「新エバンジェリスト養成講座」などの講座を企画しています。EnterpriseZine編集部ならではの切り口・企画・講師セレクトで、明日を担うIT人材の育成をミッションに展開しております。

お申し込み受付中!

EnterpriseZine(エンタープライズジン)

EnterpriseZine編集部が最旬ITトピックの深層に迫る。ここでしか読めない、エンタープライズITの最新トピックをお届けします。

『EnterpriseZine Press』

2024年秋号(EnterpriseZine Press 2024 Autumn)特集「生成AI時代に考える“真のDX人材育成”──『スキル策定』『実践』2つの観点で紐解く」

ITマネージャーのためのWebセキュリティ入門

設計時に「脆弱性対策」は盛り込まれていますか?開発・設計時に注意したいセキュリティ対策


 前回は、システム開発時のツール利用や手順書作成時に押さえておくポイントをご紹介しました。今回は、実際の開発を行う時と脆弱性検査を実施する際に注意したいポイントについて解説します。

設計時に「脆弱性対策」は盛り込まれていますか?

 作り込まれてしまう脆弱性の多くは、設計時の検討漏れが原因です。特に新規の開発ではなく、既存システムに対してカスタマイズ開発を行う場合、追加・変更する機能を実装することに注力してしまいがちです。

 これは、そもそも脆弱性に対するコーディングを意識していない、もしくは既存機能で脆弱性の対策が盛り込まれていると思い込んで開発を進めていることが考えられます。既存機能では対策済みであったとしても、開発を担当する開発者自身が脆弱性について意識していないと、追加で開発した機能に脆弱性を作りこんでしまいやすくなります。

設計の段階で脆弱性対策が盛り込まれているか必ず確認しましょう

 そのため、設計の段階で脆弱性対策が盛り込まれているか確認するようにします。合わせて単体テストなどのテストケースを作成する場合でも、正常系や異常系の項目のみを用意するのではなく、脆弱性に対する項目を用意して、必要なテストを忘れずに実施するようにします。

 どのような脆弱性があり、どのようなテストを実施していいか不明な場合は、セキュリティ担当や、セキュリティガイドライン等を確認してみましょう。

 担当している機能で脆弱性が発見された場合、周りのメンバーに脆弱性が発見された箇所や対策内容を共有する体制を用意しておくことが大切です。他のメンバーが開発している機能でも同じような脆弱性が作り込まれているかもしれません。そのため自分一人の中でクローズするのではなく、他のメンバーに共有することで、システム全体の安全性を高める事になります。

テストデータは独自に作成しましょう

 一般的なテストフェーズの流れは、単体テスト、結合テスト、負荷テスト等の順番ですが、それらのテストのために本番のデータを使ってはいけません。本来は”閲覧権限のない”個人情報などを開発担当者へ渡してしまうことは問題です。また、本番データをテストのために安全ではない環境に置くことで、データの漏えいリスクが高まります。

 結合テストや負荷テストでは大量のデータが必要となるため、すでに存在している本番のデータの利用を検討されることがあると思いますが、漏えいリスク等を考えるとランダムデータを作成し利用する方が安全です。

次のページ
脆弱性検査を受ける際は、スケジュールをしっかり決めましょう

この記事は参考になりましたか?

  • Facebook
  • X
  • Pocket
  • note
ITマネージャーのためのWebセキュリティ入門連載記事一覧

もっと読む

この記事の著者

石田 俊一(イシダ シュンイチ)

株式会社ソフトウェアサービス 2013年株式会社ラックのグループ企業であるソフトウェアーサービスに入社。 複数のWEBアプリケーション設計と開発に携わり、現在は顧客のサイバーセキュリティ対策を支援する業務に従事。 開発者の経験を活かし、開発者と伴走できるセキュリティ施策を探求している。 犬とお酒が大...

※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です

この記事は参考になりましたか?

この記事をシェア

EnterpriseZine(エンタープライズジン)
https://enterprisezine.jp/article/detail/6939 2015/08/24 15:25

Job Board

AD

おすすめ

アクセスランキング

アクセスランキング

イベント

EnterpriseZine(エンタープライズジン)編集部では、情報システム担当、セキュリティ担当の方々向けに、EnterpriseZine Day、Security Online Day、DataTechという、3つのイベントを開催しております。それぞれ編集部独自の切り口で、業界トレンドや最新事例を網羅。最新の動向を知ることができる場として、好評を得ています。

新規会員登録無料のご案内

  • ・全ての過去記事が閲覧できます
  • ・会員限定メルマガを受信できます

メールバックナンバー

アクセスランキング

アクセスランキング