2009_02_03－セキュリティ仕様は上流工程で詰める。

２００９年２月３日発行

分割ラインです

　《　工程管理編　》
　
　　
　セキュリティ仕様は上流工程で詰める。
　　
　　
　　最近はＷｅｂを利用した開発が、どこでも主となっています。
　　イントラネットですら、セキュリティ要件は重要になってきています。
　　
　　外部インターネットの世界では、
　　　　セキュリティ要件は、毎年見直さなければならないほど
　　　　　　進化しつづけています。
　　
　　
　　
　　Ｗｅｂのプログラムでのセキュリティ上の欠陥を作りこまないためには
　　上流工程からしっかりとしたセキュリティ要件をまとめることにあります。
　　
　　
　　　１．画面入力項目における入力確認仕様の統一
　　　　・入力長確認によるバッファオーバーフロー攻撃の防止
　　　　・サニタイズ処理によるクロスサイトスプリクティング攻撃の防止
　　　　・入力文字を用いない各種インジェクション攻撃や
　　　　　　ディレクトリ・トラバーサル攻撃の防止
　　　　・Ｎｕｌｌ文字取扱いの規則化
　　　２．セション管理方法の統一してセションハイジャック防止
　　　　　　セション連携やタイムアウト時の処理の統一化
　　　３．ＩＤとパスワードの確認手順と全画面確認仕様の統一
　　　４．ユーザー毎のアクセス権限管理の統一
　　　５．パスワード変更規則の統一と徹底
　　　６．モジュールの部品化と再利用
　　　７．柔軟なモジュール構成変更
　　　８．エラーメッセージ文言の承認手順（推測されにくい内容化）
　　　９．特別権限ユーザーの適用箇所を最小化にする。
　　１０．細かいプログラミングルールの設定
　　
　　
　　システム及びその他のセキュリティ対策
　　　１．不要なポート番号のクローズ
　　　２．ＯＳ等のセキュリティパッチ適用の一斉適用の統一
　　　３．ウィルスソフトのパターンファイル最新化
　　　４．ＳＳＬの導入と適用範囲の統一
　　　５．ソーシャルエンジニアリング対策の徹底
　　　６．ＩＤＳやＩＰＳの導入
　　
　　
　　
　　
　　　　上流工程での方針決定と標準化を徹底しなければ
　　　　必ず入りこんでしまうＷｅｂプログラム等の脆弱性です。
　　
　　
　　　　設計工程では、必ずセキュリティレビューを実施しましょう。
　　
　　
　　
　　　セキュリティ対策品質を事前に作りこむ対策が
　　　　　一番効果的になります。
　　
　　後工程になって、セイキュリティ対策を行うと
　　　　全てのプログラムまで徹底されない。
　　　　設計仕様から作り直さなければならなくなる。
　　　　プログラムによってセキュリティ強度が異なる。
　　　　
　　これらの脆弱性が残ったままのプログラムになります。
　　　　
　　
　　
　　中には、ホームページ作成業者のなかには、デザイン重視で
　　　　セキュリティ対策を施さない業者もあるようです。
　　ユーザー側もコストを安く仕上げるために、
　　　　セキュリティ対策を疎かにしてしまいがちになります。
　　
　　
　　
　　
　　　セキュリティ対策を怠ると
　　　　不正アクセスによる情報漏えいや改ざんにより
　　　　　　後から重いツケを払わされることになります。