開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

ライムライト・ネットワークス・ジャパン株式会社提供コンテンツ

  • スペシャル
  • 会員限定
  • 2017/02/13
徳丸浩氏×ライムライト対談 【徳丸浩氏 対談】Webセキュリティ対策は、ベンダーに任せておけばそれでよいのか?

WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。


最近のWebサイト・サービスの開発とWebセキュリティ対策の実態

──最近は、DevOpsやアジャイルといった言葉に象徴されるように、開発の手法が変化しています。セキュリティ観点から見たWebサイト・サービス開発の現状について、ご意見をお聞かせください。

徳丸氏:特にスピードが要求されるスタートアップ系の企業では、DevOpsやアジャイル的な手法が利用されています。ただ、スタートアップ系企業は、開発者一人一人のスキルは高いものの、個人の技量や意識に任せていて、組織としてのガバナンスに課題を抱えているということは、全体的な傾向としていえると思います。

 大手の開発企業の場合は、比較的早くからセキュリティガイドラインを整備したり、出荷前に脆弱性診断を実施したりする企業はありますが、やはりばらつきは大きいのが実態です。全体で見れば、企業規模に関係なく、しっかりやっているところはやっているし、そうでないところも少なくないというのが実態です。

──開発の発注側であるユーザー企業についてはどうでしょうか。

徳丸氏:圧倒的に多いのは「お任せ型」です。セキュリティに関して、発注仕様書の手本がないことも問題です。このため、たとえば「セキュリティに十分注意して開発せよ」とか「SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はしっかり実施する」といった曖昧な記述が少なくありません。「十分注意する」とは具体的にどういうことか、クロスサイトスクリプティングなどの「など」には何が含まれるのかは、よくわかりません。つまりは、開発側にお任せということです。

photo
HASHコンサルティング
代表取締役
徳丸 浩氏

この記事の続き >>
・発注側・開発側の双方に求められるWebセキュリティの意識 ・Webセキュリティと利便性は両立できる
・セキュリティを高めると開発コストは何パーセント上昇するのか?
・Webのシステムに精密なリスク分析はいらない?

この続きは会員限定です

ここから先は「ビジネス+IT プレミアム会員」に登録の方(登録は無料)のみ、ご利用いただけます。

今すぐビジネス+IT会員にご登録ください。

すべて無料!ビジネスやITに役立つメリット満載!

  • 1

    インタビューから事例記事まで、ここでしか読めない1万本超の記事が無料で閲覧可能

  • 2

    導入事例資料や技術資料、デモ動画などを無料でダウンロード・閲覧可能

  • 3

    年間1,000本以上、会員限定のスペシャルセミナーにご招待

  • 4

    ビジネス+IT編集部が必読記事を、メールマガジンでお知らせ!

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!