ikepyonのだめ人間日記

セキュリティに関することを書いていく予定。

ほんとに安全なアプリ開発に高いコストが必要か?

http://www.atmarkit.co.jp/fsecurity/rensai/talk13/talk01.html
を読んで、違和感を感じたので書いてみる。
まず、セキュリティというのは当たり前のことを当たり前にさえやっていれば、ある程度防げるものだと思っている。そしてその当たり前のことはそれほど大きくコストがかかるわけではないことが多いんだと思う。現状はその当たり前のことができてないために、いろいろな問題が出てきているのではないか?
なぜできないかというと、関係者全員にセキュリティ=難しいもの、コストがかかるものという誤った認識が出来上がっているために、必要以上に大きく見積もってしまっているのではないか?それこそ、「幽霊の正体見たり枯れお花」ってやつなのだと思うのだけど・・・

その上で、現状のアプリ開発において、発注側が適切にセキュリティ対策について考えていないことがセキュリティ要件を入れると高い見積もりが出てくるということになるのではないだろうか?
例えば、「セキュリティには十分に注意すること」なんてRFPに書かれていれば、何をどこまでやればいいのかわからないからちゃんとした会社は非常に大きくリスクを見積もって、高い見積もりが出てくるのではないだろうか?
逆に詳しくセキュリティ要件を書いているつもりが、実は実装をぎちぎちに制限してしまって、他の機能要件の実現が難しくなってないだろうか?あるいはあまり意味のないセキュリティ要件をたくさん書いてないだろうか?
本来、セキュリティ要件では、どのデータ、処理がどのくらい重要で、それがもれたり、使えなかったりしたらどういう損害が出るか?ということを考慮したうえで、どういった対策をとるか?というのを決定して、(要するにリスク分析)それを発注側が記述しなければいけないと思う。
ところが、発注側がよくわからないという理由で、その手順をやらず、話題になっていることを適当に取り入れて作っているのではないか?
アプリケーションなんて、機能を細分していくとそれほど複雑なものではないと思う。そうすると、リスクもテンプレート化できるのではないかなぁと思うのだけどどうだろう?

開発側だけに問題を押し付けるのではなく、もっと発注側も開発に責任を持つべきではないだろうか?

開発側についてはまた後で書こうっとw