2006年01月23日

セキュアな開発環境について 〜 テクニカルエンジニア(情報セキュリティ)試験対策

テクニカルエンジニア(情報セキュリティ)試験、特に午後の試験では、もちろんセキュリティに関する技法・手法の適用スキルを試すことが中心になる。が、それだけではない。セキュアな開発環境の整備は、情報セキュリティアドミニストレータではなく、テクニカルエンジニアの担当になるとも考えられる。従って、受験対策は、念のため押さえておいたほうがよいだろう。

そんなに多くの内容を含んではいない。以下のサイトを参照する。

http://www.ipa.go.jp/security/awareness/vendor/process.html

設計、プログラミング、テスト、設定(実装時)に関する留意点を紹介している。通常、セキュリティ対策は、脅威・脆弱性の認識 → 原因の特定 → 対策(この場合基本方針のようなもの)の実施 となる。

本件についていえば、例えば設計段階では、原因を「複雑性」としている。この視点は、他のセキュアプログラミングの書籍でも指摘されている。システムは、プログラミングによって、柔軟に機能を実装できるのだが、現在のようにチームというか、大人数で開発している場合、全体を統括する「方針」や「ルール」などが必要である。この例で言えば、「ウォーターフローモデル」や「スパイラルモデル」、「エクストリームプログラミング」などがあげられている。

システムの開発は、上記のようにいくつかのプロセスを経て導入されるのだが、それぞれのプロセスにおいて、弱点や原因、対策手法などを知る必要がある。
posted by tamaso at 22:49| Comment(0) | TrackBack(0) | 学習実績 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

認証コード: [必須入力]


※画像の中の文字を半角で入力してください。
この記事へのトラックバックURL
http://blog.seesaa.jp/tb/12148569

この記事へのトラックバック
×

この広告は1年以上新しい記事の投稿がないブログに表示されております。