このまえの、SANS Future Visions 2009 Tokyoで、アプリ開発者とセキュリティ関連の人が協力してセキュリティを実現するとか、アプリにセキュリティを作りこむという話があった。つまり、「アプリとセキュリティの融合」ってこと。
この実現の話なんだけど、そのSANS Future Visions 2009 Tokyoで、NRIセキュアテクノロジーズの人がISMSの現状の策定方法(リンク先:PDF)と問題点、そしてNRIテクノロジーズが提案する簡略化したリスク分析プロセスを紹介していた。
この簡略化したリスク分析プロセスは、データ資産の種別ごとに実施する対策をたて、未対策のもののリスクを分析するという話なんだけど、この「データ資産の種別」をどこから出してくるか言ってなかった。
ウィリアムのいたずらの最近のお話、
プログラム開発には、
入力+処理+出力
だけではだめで、入力のメディア、出力のメディアが必要っていう話を展開しているけど、まさに、そのメディアに、「データ資産の種別」が相当しますね!
そして、この話は今後、これらの情報をすべて、提示しているのは、業務流れ図だ!っていう話になるんだけど、ということは、
業務流れ図における、入力データ、出力データの形式(帳票、画面表示など、業務流れ図における帳票の図形、画面の図形(凡例に書いてある)で示される)から「データ資産の種別」が割り出せるから、そこから、セキュリティ対策に持っていくことができ、そのNRIセキュリティテクノロジーズの簡略化したリスク分析プロセスに持って行けますね。
とくに、その「リスク分析プロセス」、図で書いてあった・・・ということは、ここから後に話す図の変換によって、業務流れ図からリスク分析に持って行けるわけです。
まさに、「アプリとセキュリティの融合」ってこと?
でもね、こんなにすごいことでも、たぶん、このブログをNRIセキュリティテクノロジーズのひとは見てないだろうから、あんまり意味ない(^^;)・・・
・・・もっとも、ほかのSIerさんでも、できそうな話ではあるが。。。。
アクセス
トータル
ランキング
