IT導入支援

会員限定

ライムライト・ネットワークス・ジャパン株式会社提供コンテンツ

2017年02月13日
徳丸浩氏×ライムライト対談 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか?

WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。


最近のWebサイト・サービスの開発とWebセキュリティ対策の実態

──最近は、DevOpsやアジャイルといった言葉に象徴されるように、開発の手法が変化しています。セキュリティ観点から見たWebサイト・サービス開発の現状について、ご意見をお聞かせください。

徳丸氏:特にスピードが要求されるスタートアップ系の企業では、DevOpsやアジャイル的な手法が利用されています。ただ、スタートアップ系企業は、開発者一人一人のスキルは高いものの、個人の技量や意識に任せていて、組織としてのガバナンスに課題を抱えているということは、全体的な傾向としていえると思います。

 大手の開発企業の場合は、比較的早くからセキュリティガイドラインを整備したり、出荷前に脆弱性診断を実施したりする企業はありますが、やはりばらつきは大きいのが実態です。全体で見れば、企業規模に関係なく、しっかりやっているところはやっているし、そうでないところも少なくないというのが実態です。

──開発の発注側であるユーザー企業についてはどうでしょうか。

徳丸氏:圧倒的に多いのは「お任せ型」です。セキュリティに関して、発注仕様書の手本がないことも問題です。このため、たとえば「セキュリティに十分注意して開発せよ」とか「SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はしっかり実施する」といった曖昧な記述が少なくありません。「十分注意する」とは具体的にどういうことか、クロスサイトスクリプティングなどの「など」には何が含まれるのかは、よくわかりません。つまりは、開発側にお任せということです。

photo

HASHコンサルティング
代表取締役
徳丸 浩氏


この記事の続き >>
・発注側・開発側の双方に求められるWebセキュリティの意識 ・Webセキュリティと利便性は両立できる
・セキュリティを高めると開発コストは何パーセント上昇するのか?
・Webのシステムに精密なリスク分析はいらない?

この続きは会員限定です