「脆弱性根絶なんてできっこない」と嘆く前に:セキュリティ、そろそろ本音で語らないか(13)(3/3 ページ)
脆弱性の本音と建て前、そして現実
脆弱性のあるWebサーバを完ぺきに守るWAFやIPSは実現できないといわれます。しかし、「脆弱性のないシステム開発手法の実現」よりは実現性は高いと考えています。少なくとも即効性を望むのであれば、セキュリティシステムで防ぐことに挑戦してもいいことだと思います。
一方で、脆弱性を作らないプログラマ、脆弱性のないシステム開発を行える会社には相応の評価が必要でしょう。認証や資格も日本的に分かりやすい指標になるかもしれません。しかしながら、この認証や資格を持っているから標準の(脆弱性があるかもしれない)システム開発会社よりも高額な受注ができるかを考えると疑問があります。
システム発注者の目線では、認証や資格は「脆弱性が少ないかもしれない」程度のちょっとした安心にしかならず「そもそも脆弱性がないシステムを手に入れたい」というニーズにはマッチしていないからです。
セキュリティ業界のよく使うフレーズとして「○○は欠かせません」「△△により向上します」などがありますが、いずれも「あればまし」であるケースが多く「あれば大丈夫」を提供していないのです。従って、脆弱性をなくしたいというニーズに対しても、脆弱性がないことを保証する仕組みまで作り上げる必要があると考えています。
脆弱性がないシステムを作ることは、バグがないシステムは作れないことと矛盾するかもしれませんが、範囲をある程度絞ってしまえば「脆弱性がない」システムの開発は不可能ではなく、チャレンジすべき課題であると思います。
一方で、プログラマのミスはなくならないことも真実ですから、プログラマのミスを自動的に見つけるシステム構築、仕組みづくりも必要でしょう。ホワイトボックス検査、ブラックボックス検査などを組み合わせることは不可欠です。
「脆弱性はないことになっている、脆弱性の存在は許されない」という建前論と「どうせあるんだからそのとき考えればいいや」という本音があるとすれば、もっと現実に目を向けて、しかるべき工数に対する投資の容認を、投資対効果という言葉に頼らずに行えるようにしたいものです。
そして結果的に、ちゃんとしたプログラマ、ちゃんとしたシステム開発ができるグループにはしかるべき評価がなされるべきであり、それには経験の積み重ねが肝要であると考えています。
三輪 信雄(みわ のぶお)
S&Jコンサルティング株式会社
代表取締役
チーフコンサルタント
1995年より日本で情報セキュリティビジネスの先駆けとして事業を開始し、技術者コミュニティを組織し業界をリードした。また、日本のMicrosoft製品に初めてセキュリティパッチを発行させた脆弱性発見者としても知られている。
そのほか多くの製品の脆弱性を発見してきた。また、無線LANの脆弱性として霞が関や兜町を調査し報告書を公開した。Webアプリケーションの脆弱性について問題を発見・公開し現在のWebアプリケーションセキュリティ市場を開拓した。
また、セキュリティポリシーという言葉が一般的でなかったころからコンサルティング事業を開始して、さらに脆弱性検査、セキュリティ監視など日本で情報セキュリティ事業の先駆けとなった。
上場企業トップ経験者としての視点で情報セキュリティを論じることができる。教科書通りのマネジメント重視の対策に異論をもち、グローバルスタンダードになるべき実践的なセキュリティシステムの構築に意欲的に取り組んでいる。また、ALSOKで情報セキュリティ事業の立ち上げ支援を行った経験から、物理とITセキュリティの融合を論じることができる。
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。