セキュリティルール作りのテクニック

セキュリティ担当者になれば、セキュリティポリシーを含めたルール作りに関わる機会が増えるはずだ。ルール作りのために欠かせない考え方について紹介しよう。

[松尾秀樹，セキュアシステムスタイル]

本コラムは2015年7月22日に公開した「セキュリティルール作りのテクニック」を再編集したものです。

　当然と言えば当然ですが、技術的な部分を抜きにルール作りは進みません。例えばパスワードの桁数や運用をどうするのかという視点でいえば、ルール策定時の標準的なコンピュータスペックに照らし合わせて、総当たりでチェックされたときにどのくらいの時間がかかるのか、どのくらいのペースで変更を行えば十分運用に耐え得るのかといった技術的な検証を踏まえたかたちで値を埋め込む必要があります。

　最初のルール作りには欠かせないアプローチで、開発ルールについても同じことがいえます。Webアプリの設計時には、「入力フォームやパラメータはセキュリティの観点からこうあるべき」という点を最初に十分検討したいところです。

　Webアプリのルール作りの際にはできるだけ説明しやすく作っていきましょう。具体的には「資料の中の何ページにある記述通りに作ってもらう、もしくは直してもらえば大丈夫」といった進め方ができるぐらいの資料があると現場も受け入れやすいはずです。

　そのためには、さまざまな開発言語に対応した表記の仕方が必要です。筆者もPHPやAndroidにおけるJavaコーディングといった一部の詳細資料までは用意できましたが、全ての言語に対応したルール作りは行うことができませんでした。自社で使われている言語を調べた上で、優先順位を付けていきながら進めていくべきです。

　どんなルールを作っていくべきかのひな型については、実際にはセキュリティベンダーなど外部パートナーの協力を得て作り上げてください。

パブリックな情報の使い方

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

パスワードは定期的に変更すべきか
これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。
「人材不足」は、情報セキュリティの10大脅威か？
「情報セキュリティ10大脅威」の2018年版順位が先行発表された。ランク外から登場した3つの脅威について解説しよう。
セキュリティ対策費を確保するならリスクベースで語れ
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。
標的型攻撃への対策状況（2018年）／前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。
標的型攻撃への対策状況（2018年）／後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。