TarZの日記: Webアプリケーションに脆弱性は必ずある、ですってぇ? 1
「Webアプリケーションに脆弱性は必ずある」-セキュアスカイ乗口社長
# いや、大筋では同意なんですけど、細かいところで突っ込みたい部分がちらほら…。
非常に刺激的なタイトルだが、まあセキュリティ会社の人の発言だし、(必ずあるかどうかはともかくとして)脆弱性を抱えたWebアプリが大多数なのはまあ事実。
でもですね…。
「Web開発会社はセキュリティのことなど考えていないところばかりで、品質に対する観点が欠けている」と指摘した乗口氏は、「出荷前検査を根付かせようと、大手Web開発会社と話し合いを続けてきたが、駄目だった。手間がかかるが、ユーザーが受け入れ検査をして、脆弱性が出たら瑕疵(かし)責任で修正を受け入れさせるしかない」
これは検査会社としての視点なんだろうなあ。
もちろん出荷前検査は必要ですけどね、それじゃ遅いんですよ。出荷前検査は最後の砦として使うべきで、ここで脆弱性が出るようでは手遅れなんです。付け焼刃の対応をとらざるを得ないから。
一方で、ユーザー側の問題も指摘。「システム立ち上げの日付ありきで、検査をする余裕を取っていない。受け入れ検査をして、その結果によってカットオーバーを伸ばす伸ばさない、という検討の体制を作らないといけない」(乗口氏)
受入検査なんて、サービスインの直前にやるケースがほとんど。この時点で延期というのは、エンドユーザとしてはとても厳しい選択肢で、「延期を検討」なんて原則論がホイホイ成り立たつ時期じゃない。
第一、サービス延期を決定できる人はエンドユーザの偉い人であって、そういう人は、脆弱性による影響とサービス延期による影響を考慮して正しい判断を下す、なんてことは期待できません。
「脆弱性があるのは当たり前」なんていう前提のままで、出荷前検査で潰すような方法論は、はっきり言って論外です。設計時点から脆弱性が入り込まないように作り、出荷前検査でその最終確認をする、という方向でないとダメダメです。設計時点ですら考慮できなかったものを、出荷直前のドタバタしているときにマトモに対応できるわけがないのです。
# で、それが厳しいんだわさ。(´・ω・`)
# 現場じゃエンジニアじゃない人も職に就いているから。
追記 (スコア:1)