NRIセキュア 「～66％の問題は設計段階までに起因、求められる上流工程からの対策～」

　こんにちは、丸山満彦です。NRIセキュアテクノロジー社が「Webサイトのセキュリティ診断結果の傾向分析レポート2009年版」を公開を公表していますね。。。
　参考になりますね。。。

　

　
■NRIセキュアテクノロジー
・2009.07.27 Webサイトのセキュリティ診断結果の傾向分析レポート2009年版
　・・～66％の問題は設計段階までに起因、求められる上流工程からの対策～

　興味がもてるのは、
・業務システムの多くに権限昇格の問題が存在
・クレジットカードを取り扱うWebサイトでは他のサイト以上に重要情報に不正アクセスできた。
・2008年度のセキュリティ診断で発見された問題のそれぞれについて、開発工程のどの段階で修正されるべきであったかを基準に分類を行った結果、6割以上が設計フェーズまでに修正すべき問題であった。

　なかなか有用な情報ですね。。。

●Internet Watch
・2009.07.28 企業・官公庁サイトの34％、重要情報に不正アクセス可能

●Cyberlaw
・2009.08.01 企業や官公庁のWebサイトの３分の１で不正アクセスが可能

Comments

丸山　様

夏井です。

設計段階で問題のある事例はたしかにたくさん存在しますね。ただ，もっと問題なのは，設計開始以前の段階での要求仕様がぜんぜんはっきりしていない場合や，あるいは，要求仕様が明確であっても予算がぜんぜん伴っていない場合などもあるので，「設計上の問題」と言ってもその問題発生メカニズムをきちんと分けて考えないと合理的な解決ができないかもしれませんね。

ちなみに，これとは別に，「面白い技術ができたから」という理由だけですぐに製品開発に結び付けてしまうような事例をたくさん目にしてきました。しかし，研究室の中ではどんな研究でも自由ですけど，開発された技術を社会の中に置くというレイヤでは「適法性」の要件を必ず充足しなければならないので，そのことを忘れて製品開発をしてしまうとあとで大きな問題になることがあります。

どんな法律行為も原則として「適法行為」でなければならないということは，民法の初歩の初歩として，法学部の学生であれば誰でも習うことなんですが，この当たり前のことをちゃんと理解できていない人がいないわけではないし，まして，民法の授業のない学部の出身者だと法律家にとって当たり前のことをぜんぜん知らないままで卒業し学位を得てしまうので，なかなか面倒です。

Posted by: 夏井高人 | 2009.08.09 16:14

夏井先生、コメントありがとうございます。責任をきっちりとるということが重要だと思うんですね。その覚悟がないというか、安易な気持ちで、いろいろとしてしまっている。その覚悟があれば、わからないことを謙虚に学ぼうという姿勢もでてくるし、自分の能力ではどうしようもないことは、専門家に適切な対価を払って教えを請うということもするように思うんです。
　また、専門家の中にはだまして儲けてやろうという人もいるだろうから、そういう人をちゃんと見分けることも重要ですね。。。

Posted by: 丸山満彦 | 2009.08.13 13:13