セキュアコーディングは単なる脆弱性対策ではない。セキュアコーディングの目的は
プログラムが正しく実行されること/正しく実行されたことを保証する
ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性対策”(攻撃防止)を意味する。しかし、ITセキュリティ対策は攻撃防止のみに留まらない。 ISO 27000/ISMSでは
これら全ての性質を保証することを求めている。”攻撃可能な脆弱性対策”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。
2017年版OWASP TOP 10にはA7(第7番目の脆弱性)として「不十分な攻撃防御」(Insufficient Attack Protection)が追加された。十分な攻撃防御を行うにはセキュリティ対策の基礎である「境界防御」を「入力処理」で行う必要がある。
情報セキュリティ対策の目的は
です。「リスクを廃除/削減すること」がセキュリティ対策の目的と勘違いはよく見られます。「リスクを廃除/削減すること」は情報セキュリティ対策の目的ではなく、手段に過ぎません。
「セキュリティ対策」という用語の定義は人によって異る場合が多いです。このため「セキュリティ対策」ではなく「リスク対応策」と考える方が解りやすく、誤解も少なくなります。
ISO 27000のリスク対応
2.71 リスク対応 リスクを変化 (2.61)させる為のプロセス(2.54) ノート 1 リスク対応には以下の項目を含める事ができる: リスクを発生させる活動を開始しない、または継続しないことを決断することによりリスクを回避する 機会を獲得する為にリスクを選択または増加させる リスクの原因を排除する 発生の頻度を変える 結果を変える 他の組織(契約企業やリスクの資金的処理を含む 訳注:保険など)とリスクを共有し 見聞のある選択によりリスクを抑える ノート 2 否定的な結果をもたらす事象のリスク対応は、”リスク緩和策”、”リスク排除策”、”リスク防止策”、 ”リスク削減策”などと呼ばれる事がある ノート 3 リスク対応は新しいリスクを生成したり、既存のリスクを変更することができる