【第4回】セキュリティルール作りのテクニック

IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第4回】セキュリティルール作りのテクニック
この記事をtweetする このエントリーをはてなブックマークに追加

IT現場の道先案内人 Key Conductors

【第4回】セキュリティルール作りのテクニック

2015/07/22

 セキュリティ担当者になった暁には、セキュリティポリシーを含めたルール作りにかかわる機会もでてくるはずです。そこで、ルール作りに関する考え方についてご紹介しましょう。

最初のルール作りは技術的な考慮を十分行う

 当然と言えば当然ですが、技術的な部分を抜きにルール作りは進みません。例えばパスワードの桁数やその運用をどうするのかという視点でいえば、ルール策定時の標準的なコンピュータスペックに照らし合わせて、総当たりでチェックされたときにどのくらいの時間がかかるのか、どのくらいのペースで変更を行えば十分運用に耐え得るのかといった技術的な検証を踏まえたかたちで値を埋め込んでいく必要があります。

 これは最初のルール作りには欠かせないアプローチで、開発ルールについても同じことが言えます。Webアプリの設計時には、「入力フォームやパラメータはセキュリティの観点からこうあるべき」というのを最初に十分検討しておきたいところです。

 ちなみに、Webアプリのルール作りの際にはできるだけ説明しやすく作っていきましょう。具体的には、「資料の中の何ページにある記述通りに作ってもらう、もしくは直してもらえば大丈夫」といった進め方ができるぐらいの資料があると現場にも受け入れてもらいやすいはずです。

 そのためには、さまざまな開発言語に対応した表記の仕方が必要です。私も、PHPやAndroidにおけるJavaコーディングといった一部の詳細資料までは用意できましたが、全ての言語に対応したルール作りは行うことができませんでした。自社で現状使われている言語をまずは調べたうえで、優先順位を付けていきながら進めていくべきです。

 どんなルールを作っていくべきかのひな型については、実際にはセキュリティベンダなど外部パートナーの協力を得て作り上げてください。

パブリックな情報の使い方

 セキュリティのルール作りにおいて、IPAをはじめとした様々な機関からルール作りの指針が公開されています。ただ、そういった資料は自社のビジネスに照らし合わせてみると実務とかい離している部分もあるため、運用面や利便性を含めた吟味検討が必要です。

 Webセキュリティに関して言えば、例えばWebアプリを作るときのセキュアプログラミングなどの手法が紹介されていたり、簡易チェックツールなど便利なものが公開されていたりします。ただし、それだけで現場に即したプログラミングが実装できるわけではありませんので、同様に吟味検討が必要になります。

ルールの運用について

 一度作り上げたルールは、その運用の中で更新していく機会が必ず出てきます。その際には、実際には多くの要望が寄せられてくることでしょう。「パスワードを入れずにオートログインで運用したい」といった要望は必ず現場から上がってくるものです。

 その場合は、現状のWebサービスが提供しているUIを追いかけながらルールを再考するべきです。全ての環境でオートログインを採用するのではなく、住所を新居に修正するとき、登録済みカード情報で決済するときなど、これまで以上に認証を詳細に行っていかなければいけないケースも出てきます。既存のUIをベースに一つずつ追いかけていく必要があるのです。

※会員登録いただくと図をご覧いただけます。
会員登録はこちら(無料)

パブリックな情報や新しい要求は、運用面や利便性を含めた吟味検討が必要

 次回は、「ルールを現場に浸透させるためのテクニック」についてお話します。

会員限定で「読者からのコメント」が読み書きできます! 「読者からのコメント」は会員限定の機能。会員登録を行い、ログインすると読者からのコメントが読み書きできるようになります。

会員登録(無料)・ログイン

Myリストへ 印刷用ページへ

この記事をtweetする このエントリーをはてなブックマークに追加


この寄稿記事に掲載している情報は、掲載日時点での情報となります。内容は変更となる場合がございますのでご了承下さい。また、「Key Conductors」の寄稿記事及び当該記事に寄せられたコメントについては、執筆者及びコメント投稿者の責任のもと掲載されているものであり、当社が、内容の最新性、真実性、合法性、安全性、適切性、有用性等を保証するものではありません。


30008104


IT・IT製品TOP > Key Conductors > 松尾 秀樹(株式会社セキュアシステムスタイル) > 【第4回】セキュリティルール作りのテクニック

このページの先頭へ

キーマンズネットとは
86年リクルート入社、コンピュータタイムシェアリング事業でスパコンの設置/運用。93年SI事業へ出向、大手クライアント技術支援。2002年システムセキュリティ担当、Webサービスの施策展開。2014年リクルート退職、株式会社セキュアシステムスタイル設立、代表取締役。「企業のセキュリティ担当者を支援するサービス」開発・提供中。

ページトップへ