 |
||||||||||
|
||||||||||
| 前のページ 1 2 3 次のページ | ||||||||||
|
||||||||||
| セキュリティガイドラインの作成 | ||||||||||
|
ガイドラインの作成は自社で行っているケースもあれば、外部の専門業者に委託しているケースもあります。また、作成するガイドラインの分類は各社によって異なりますが、Webサイトの構成要素別に作成するケースが多いようです。例えば、Webアプリケーション開発ガイドライン、OS設定ガイドライン、ミドルウェア設定ガイドライン、データベース設定ガイドライン、といった分類です。この中でOS、ミドルウェア、データベースについて、具体的な設定に落とし込むためにプロダクト別のガイドラインを設けている場合もあります。 ガイドラインを作成する際に参考となる情報を以下に示します。
IPA:安全なウェブサイトの作り方 改訂第2版
http://www.ipa.go.jp/security/vuln/websecurity.html データベースセキュリティガイドライン: http://www.db-security.org/report.html SANS Step-by-Stepシリーズ http://sans-japan.jp/sbs/sbs.html また、ガイドラインの各対策項目には優先度をつけることを推奨します。ガイドラインの網羅性が高まるほど、顧客要件や利便性との比較から対策を見送る項目がでてきますが、優先度があれば、開発担当者が対策の必要性を判断するための基準として利用できます。優先度付けの例を以下に示します。
表1:セキュリティの優先度付けの例 ガイドラインが完成しても、現場に認知され、利用されなければ意味がないため、普及活動が必要となります。社内のイントラネットやメールなどでアナウンスするだけでなく、開発担当者向けに説明会を開催したり、上層部の集まる会議で紹介したりするなど、利用を促進するための工夫が必要となります。 また、ガイドラインも一度作れば終わりということもなく、メンテナンスは欠かせません。新たな攻撃手法や脅威、セキュリティの観点について追記したり、ガイドラインに記載されている脆弱性を現場が作り込んでしまう場合には、記載内容を見直したりする必要があります。開発現場からのフィードバックやセキュリティ診断の結果も盛り込んで行く必要があります。 |
||||||||||
|
前のページ 1 2 3 次のページ |
||||||||||
|
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
|
|
||||||||||
|
||||||||||
-
-
連載
