セキュアデベロップメント - ikepyonのお気楽な日々~技術ネタ風味~
セキュアデベロップメントそにょに - ikepyonのお気楽な日々~技術ネタ風味~
Webアプリじゃなく一般的な業務アプリになりますが、昔(もうかれこれ3年程前)に要件定義段階でのセキュリティに対する検討作業を進めた事があります。
この時はやや特殊な事情があり、要件定義段階からセキュリティ要件を詰める事が求められ、自分が担当となって作業を進めた事があります。
(尤も、その後色々な事情でデスマ化したんですけれど。orz あ、自分が原因じゃない事だけは確かです(設計(外部設計)の段階で顧客に振り回されたってのが原因)。幸いな事に、自分はデスマ化する前に足を洗えたんですが(苦笑)。)
この時はJIS X 5080(今のJIS Q 27001)の詳細管理策をベースに、ハード、システム(主にOSやNW機器への設定)、開発、運用それぞれに対して、最低限満たすべき大粗の要件を定めてました。
多分Webアプリでも要件定義の段階で定められる内容って、恐らくこの程度のような気がします。
(あんまり細かく詰めてしまうと、いざ開発する段階で「あれがダメ」「これがダメ」という事で骨抜きになってしまったモノが出来てしまう恐れが強い気がします。)
……寧ろこの段階では、開発に関わるメンバ全員に対して「今回開発するモノはセキュリティに対して十二分に意識を払う必要があるぞ~」という意識付けを行うために行うようなものでは?、と思っていたり。
セキュアデベロップメントそにょに - ikepyonのお気楽な日々~技術ネタ風味~
Webアプリじゃなく一般的な業務アプリになりますが、昔(もうかれこれ3年程前)に要件定義段階でのセキュリティに対する検討作業を進めた事があります。
この時はやや特殊な事情があり、要件定義段階からセキュリティ要件を詰める事が求められ、自分が担当となって作業を進めた事があります。
(尤も、その後色々な事情でデスマ化したんですけれど。orz あ、自分が原因じゃない事だけは確かです(設計(外部設計)の段階で顧客に振り回されたってのが原因)。幸いな事に、自分はデスマ化する前に足を洗えたんですが(苦笑)。)
この時はJIS X 5080(今のJIS Q 27001)の詳細管理策をベースに、ハード、システム(主にOSやNW機器への設定)、開発、運用それぞれに対して、最低限満たすべき大粗の要件を定めてました。
多分Webアプリでも要件定義の段階で定められる内容って、恐らくこの程度のような気がします。
(あんまり細かく詰めてしまうと、いざ開発する段階で「あれがダメ」「これがダメ」という事で骨抜きになってしまったモノが出来てしまう恐れが強い気がします。)
……寧ろこの段階では、開発に関わるメンバ全員に対して「今回開発するモノはセキュリティに対して十二分に意識を払う必要があるぞ~」という意識付けを行うために行うようなものでは?、と思っていたり。
でも、ほんとは、はてなにも書いたとおり、この段階で、セキュリティ対策ということを考えなくても、全ての技術者が設計ぐらいから考えるようにしてくれればいいんですけどねぇ。
民間の、ごく一般的なWebサーバに乗っかるようなものだと、そうも必要ないんでしょうが。