ja:intro:セキュアコーディングの目的
This is an old revision of the document!
セキュアコーディングの目的
セキュアコーディングは単なる脆弱性対策ではない。セキュアコーディングの目的は
プログラムが正しく実行されること/正しく実行されたことを保証する
ことにある。一般に脆弱性対策という場合、”攻撃可能な脆弱性対策”(攻撃防止)を意味する。しかし、ITセキュリティ対策は攻撃防止のみに留まらない。 ISO 27000/ISMSでは
- 機密性 - 秘密の情報を秘密にしておく特性
- 完全性 - 処理の一貫性を保証する特性
- 可用性 - 利用可能な状態を保証する特性
- 信頼性 - 処理の正しさを保証する特性
- 真正性 - 処理の要求が本当に権限を持つモノからの要求であることを保証する特性
- 責任追跡性 - 処理が誰によって処理されたか追跡できる特性
- 否認防止 - 誰かによって処理された事項を後になって否定できない特性
これら全ての性質を保証することを求めている。”攻撃可能な脆弱性対策”(攻撃防止)はセキュリティ対策の一部であり、これだけでは不十分である。
2017年版OWASP TOP 10にはA7(第7番目の脆弱性)として「不十分な攻撃防御」(Insufficient Attack Protection)が追加された。十分な攻撃防御を行うにはセキュリティ対策の基礎である「境界防御」を「入力処理」で行う必要がある。
ja/intro/セキュアコーディングの目的.1498983848.txt.gz · Last modified: 2017/07/02 08:24 by yohgaki
