- ありがとうございます!
- いいね!した記事一覧をみる
会員になると、いいね!でマイページに保存できます。
WebサイトやWebサービスは、今やほとんどのビジネスにとって不可欠な要素となっている。スマートデバイスの普及やSNSの広がりによって、その重要性はさらに増している。にもかかわらず、Webのセキュリティをベンダー任せにしている企業は少なくない。それはなぜなのか。ベンダー任せから脱却するにはどうすればよいのか。HASHコンサルティングの徳丸 浩氏とライムライト・ネットワークス・ジャパンの荒井氏が論を交えた。
最近のWebサイト・サービスの開発とWebセキュリティ対策の実態
──最近は、DevOpsやアジャイルといった言葉に象徴されるように、開発の手法が変化しています。セキュリティ観点から見たWebサイト・サービス開発の現状について、ご意見をお聞かせください。徳丸氏:特にスピードが要求されるスタートアップ系の企業では、DevOpsやアジャイル的な手法が利用されています。ただ、スタートアップ系企業は、開発者一人一人のスキルは高いものの、個人の技量や意識に任せていて、組織としてのガバナンスに課題を抱えているということは、全体的な傾向としていえると思います。
大手の開発企業の場合は、比較的早くからセキュリティガイドラインを整備したり、出荷前に脆弱性診断を実施したりする企業はありますが、やはりばらつきは大きいのが実態です。全体で見れば、企業規模に関係なく、しっかりやっているところはやっているし、そうでないところも少なくないというのが実態です。
──開発の発注側であるユーザー企業についてはどうでしょうか。
徳丸氏:圧倒的に多いのは「お任せ型」です。セキュリティに関して、発注仕様書の手本がないことも問題です。このため、たとえば「セキュリティに十分注意して開発せよ」とか「SQLインジェクションやクロスサイトスクリプティングなどの脆弱性対策はしっかり実施する」といった曖昧な記述が少なくありません。「十分注意する」とは具体的にどういうことか、クロスサイトスクリプティングなどの「など」には何が含まれるのかは、よくわかりません。つまりは、開発側にお任せということです。
代表取締役
徳丸 浩氏
この記事の続き >>
・発注側・開発側の双方に求められるWebセキュリティの意識 ・Webセキュリティと利便性は両立できる
・セキュリティを高めると開発コストは何パーセント上昇するのか?
・Webのシステムに精密なリスク分析はいらない?
・発注側・開発側の双方に求められるWebセキュリティの意識 ・Webセキュリティと利便性は両立できる
・セキュリティを高めると開発コストは何パーセント上昇するのか?
・Webのシステムに精密なリスク分析はいらない?
今すぐビジネス+IT会員にご登録ください。
すべて無料!今日から使える、仕事に役立つ情報満載!
-
ここでしか見られない
2万本超のオリジナル記事・動画・資料が見放題!
-
完全無料
登録料・月額料なし、完全無料で使い放題!
-
トレンドを聞いて学ぶ
年間1000本超の厳選セミナーに参加し放題!
-
興味関心のみ厳選
トピック(タグ)をフォローして自動収集!
関連タグ
タグをフォローすると最新情報が表示されます
