セキュリティルール作りのテクニック
セキュリティ担当者になれば、セキュリティポリシーを含めたルール作りに関わる機会が増えるはずだ。ルール作りのために欠かせない考え方について紹介しよう。
本コラムは2015年7月22日に公開した「セキュリティルール作りのテクニック」を再編集したものです。
当然と言えば当然ですが、技術的な部分を抜きにルール作りは進みません。例えばパスワードの桁数や運用をどうするのかという視点でいえば、ルール策定時の標準的なコンピュータスペックに照らし合わせて、総当たりでチェックされたときにどのくらいの時間がかかるのか、どのくらいのペースで変更を行えば十分運用に耐え得るのかといった技術的な検証を踏まえたかたちで値を埋め込む必要があります。
最初のルール作りには欠かせないアプローチで、開発ルールについても同じことがいえます。Webアプリの設計時には、「入力フォームやパラメータはセキュリティの観点からこうあるべき」という点を最初に十分検討したいところです。
Webアプリのルール作りの際にはできるだけ説明しやすく作っていきましょう。具体的には「資料の中の何ページにある記述通りに作ってもらう、もしくは直してもらえば大丈夫」といった進め方ができるぐらいの資料があると現場も受け入れやすいはずです。
そのためには、さまざまな開発言語に対応した表記の仕方が必要です。筆者もPHPやAndroidにおけるJavaコーディングといった一部の詳細資料までは用意できましたが、全ての言語に対応したルール作りは行うことができませんでした。自社で使われている言語を調べた上で、優先順位を付けていきながら進めていくべきです。
どんなルールを作っていくべきかのひな型については、実際にはセキュリティベンダーなど外部パートナーの協力を得て作り上げてください。
パブリックな情報の使い方
セキュリティのルール作りにおいて、IPAをはじめとしたさまざまな機関からルール作りの指針が公開されています。ただし自社のビジネスに照らし合わせてみると実務と乖離(かいり)した部分もあるため、運用面や利便性を含めた吟味が必要です。
Webセキュリティについていえば、例えばWebアプリを作るときのセキュアプログラミングなどの手法や簡易チェックツールなどが公開されています。ただし現場に即したプログラミングが実装できるわけではありませんので、同様に吟味が必要になります。
ルールの運用について
一度作り上げたルールは運用する中で更新の機会が必ず出てきます。そのとき多くの要望が寄せられることでしょう。例えば「パスワードを入れずにオートログインで運用したい」といった要望は必ず現場から上がるものです。
現状のWebサービスが提供するユーザーインタフェースを追いかけながらルールを再考するべきです。全ての環境でオートログインを採用するのではなく、住所を新居に修正するとき、登録済みカード情報で決済するときなど、これまで以上に認証を詳細に行っていかなければいけないケースも出てきます。
次回は、「ルールを現場に浸透させるためのテクニック」についてお話します。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- パスワードは定期的に変更すべきか
これまでのパスワード管理の常識はもはや過去のもの。パスワードの定期更新はリスクを高めるだけだ。 - 「人材不足」は、情報セキュリティの10大脅威か?
「情報セキュリティ10大脅威」の2018年版順位が先行発表された。ランク外から登場した3つの脅威について解説しよう。 - セキュリティ対策費を確保するならリスクベースで語れ
「ITセキュリティに投資を行わない」という企業は、ほぼ存在しない。だが、「どのように投資すべきか」に悩む担当者は多い。 - 標的型攻撃への対策状況(2018年)/前編
キーマンズネット会員197人を対象にアンケート調査を実施した。実際に標的型攻撃を受けた経験の有無や被害内容などに関する質問を展開した。 - 標的型攻撃への対策状況(2018年)/後編
キーマンズネット会員197人を対象にアンケート調査を実施した。社内セキュリティ体制や導入するセキュリティ製品など企業の標的型攻撃への対策状況が明らかになった。