あなたの上司は分かってる? セキュアなコードの重要性
2006/3/4
マイクロソフトは3月2日、同日に行われた同社のイベント「Developer Security Day」の前にサマリー説明会を開催し、セキュアなコードの重要性を訴えた。
米マイクロソフト Office部門 セキュリティアーキテクト デビッド・ルブラン氏 |
同社はSQLインジェクションなど、セキュリティ上の脅威がアプリケーション層に拡大している現状を受け、ネットワークやOSに加えてアプリケーション開発においてもセキュリティを意識することが必須だとしている。対応策として、マイクロソフトは2002年からセキュリティに配慮した開発プロセス「セキュリティ開発ライフサイクル」(Security Development Lifecycle:SDL)を採用。2005年12月には、同社内で蓄積したSDLのノウハウ公開などを柱とする、セキュアなアプリケーションの開発支援策「開発者セキュリティ」を開始した(関連記事)。
米マイクロソフト Office部門 セキュリティアーキテクト デビッド・ルブラン(David LeBlanc)氏は「セキュリティは機能である。計画的に組み入れられるべきだ」とし、「セキュリティは専門家のものではなく、開発者1人1人が意識すべき問題」と語った。
例としてSDLを導入し開発した「Office 2003」を挙げた。社内で開発したツールを使用することなどで質を向上させ、2003年11月のリリースから3つしかセキュリティパッチを出していないという。開発中の「Windows Vista」などでも手法は同様だが、対応策やツールなどは改善しているとした。
しかし、開発者自身がセキュアなコードの重要性を意識しても、上司やユーザー部門の理解が得られない状況にあるのではないか。ルブラン氏は「顧客はクオリティが高く、セキュリティに配慮した製品を選ぶ。(開発スピードや効率のみを追求した)クオリティの低い製品はマーケットに分かってしまい、結局排除されるだろう」と語った。そのうえで「アプリケーションにセキュリティ上の問題があるのなら、何らかの方法で問題全体をきちんとデモンストレーションし、周囲の理解を得られるようにすることが必要だ」と指摘した。
(@IT 長谷川玲奈)
[関連リンク]
「Developer Security Day」開催概要
[関連記事]
MSが問いかける「セキュアなアプリを書けますか?」 (@ITNews)
Windows Vistaで「セキュリティはジャンプアップする」とゲイツ氏 (@ITNews)
セキュリティ対策活動の成果を誇示するマイクロソフト (@ITNews)
情報をお寄せください:
最新記事
|
|