Secure Programmingについて解説しているサイトを読んでいて考えてみました。
色々と勉強になることが沢山書いてあり、そういう意味ではなかなか興味深いのですが、いざ自分がこの通りにソースを書くか(或いはチームメンバにやらせるか)というと、そうでも無い気がします。
結局セキュリティってコストとのトレードオフな訳なので、どこまでお金と時間をかけて安全性を確保したいか、の思いがどこまで強いかということだと思うのです。
オープンソースを書いているのならいざ知らず、企業の情報システムを作っている以上、ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。(IDSについては自分もその費用対効果が直感的には分かっていないですが)
数MStep以上になると、あまり細かいレベルで云々言い出すと、いつまで経っても完成しない(というか上記を守れるだけのプログラマを集めることが不可能というか)訳だし。
とか考える自分は2.3なぜプログラマは危ないコードを書いてしまうのかに集約されてしまっている気がする...orz
考えれば考えるほど堂々巡りというか。
難しい。。。
色々と勉強になることが沢山書いてあり、そういう意味ではなかなか興味深いのですが、いざ自分がこの通りにソースを書くか(或いはチームメンバにやらせるか)というと、そうでも無い気がします。
結局セキュリティってコストとのトレードオフな訳なので、どこまでお金と時間をかけて安全性を確保したいか、の思いがどこまで強いかということだと思うのです。
オープンソースを書いているのならいざ知らず、企業の情報システムを作っている以上、ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。(IDSについては自分もその費用対効果が直感的には分かっていないですが)
数MStep以上になると、あまり細かいレベルで云々言い出すと、いつまで経っても完成しない(というか上記を守れるだけのプログラマを集めることが不可能というか)訳だし。
とか考える自分は2.3なぜプログラマは危ないコードを書いてしまうのかに集約されてしまっている気がする...orz
考えれば考えるほど堂々巡りというか。
難しい。。。
しばらく更新がなかったので、心配しましたゾ。
>>ソースコードのセキュリティホールよりもネットワーク越しの外部からの侵入をFWやIDSなどで固めた方が安いし安全だとも思うし。
FWはともかく、IDSはクソの役にも立ちません。
…と誰かが言うてました。
何を守るかという話であれば、灰色なパケットも
すべて止め、たとえ業務妨害になろうが
サーバを守るとかいうスタンスにしないと
後の祭りになることが多いです。
…と誰かが言うてました。
webサーバ守るならIPSとWAFを酌交わせるのも
いいかと。(お高いですが、中途半端に
無駄金をどぶに投じるよりマシ)
もちろん、HWを買っただけでは、やはりドブに
お金を投げ込むようなもんですけど。
…と誰かが言うてました。
ちなみに、複数のベンダーIDS機器を統合管理かつ
相関分析できるツールっていうのも、ものすごーい金額で買えるそうなんですが、
そんなのを買うとディオ様にめっさ怒られてしまいますYo!
…と誰かが言うてました。