OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
OWASP ãã¹ãã£ã³ã°ã¬ã¤ã
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
2.アンヱテロダクシュンヱ<br />
<strong>OWASP</strong> テシティヱギプルザェキトは、 長 年 にわわたって 進逭 められてきました。 単 にタェッキヨシトや、 対 処 されるべき 問 題 の 処 方<br />
箋 を 提 供 するだけでなく、このプルザェキトによって、ウェブアプヨクーサュヱの 何 を、どうして、いつ、どこで、どのようにテシト<br />
するのかという 点 を、 多 くの 人 に 理 解 してもらいたいと 考 えました。このプルザェキトの 成 果 は、 完媍 全 なテシトの 枠 組 みです。こ<br />
の 枠 組 みに 基 づいて、 独犉 自 のテシト 計 画 を 策 定 することもできますし、アプヨクーサュヱの 開 発 過遃 程 を 評 価 することもできる<br />
のです。このテシティヱギオイドでは、 一 般 的 なテシトの 枠 組 みとともに、 現 場 で 枠 組 みを 実 践 するときに 必 要 な 技 法 も 記 述<br />
しています。<br />
テシティヱギオイドの 執 筆 は、かなり 困 難 な 仕 事 でした。 意 見 の 一 致 を 得 ることや、ここで 記 述 された 概 念 を、それぞれの 環<br />
境 や 文 化 の 中 で 実 際 に 適遚 用 可 能 な 内 容 にまで 高 めることは 一 種 の 挑 戦 でした。また、ウェブアプヨクーサュヱテシトの 焦 点<br />
を、 侵 入 テシトからセフト 開 発 ョイフコイキラにおける 統 合 されたテシトに 変 えることも 挑 戦 でした。<br />
しかしながら、 私 たちは 到 遉 した 成 果 にとても 満 足 しています。 業 界 の 多 数 の 専 門 家 と、 世 界 中 の 大 企 業 でセフトウェアのス<br />
カャヨティに 責 任 のある 人 たちが、テシトの 枠 組 みを 検 証 しています。この 枠 組 みは、 単 に 弱 点 のある 場 所 を 強 調 するだけ<br />
ではなく、 組 織 がウェブアプヨクーサュヱをテシトして、 信 頼 性 が 高 く、 安 全 なセフトウェアを 構 築 することを 支 援 します。もっと<br />
も、 弱 点 を 強 調 することが、<strong>OWASP</strong> の 多 数 のオイドやタェッキヨシトの 副 産 物片 であることは 否 定 できませんが。 例 えば、いくつ<br />
かのテシト 技 術 の 適遚 切 性 については、 完媍 全 に 理 解 したということが 必 ずしも 全 員 の 賛 成 を 得 られなかったため、 難 しい 判 断<br />
を 下 しました。しかし、<strong>OWASP</strong> は 有 利 な 位 置 を 占 め、 合 意 や 経 験 に 基 づいた 教 育 研 修 と 啓 発 活 動 を 通 じて、 長 い 時 間 を 掛<br />
けて 文 化 を 変 えてゆくことも 可 能 です。このオイドの 残 りの 部邪 分 は、 次 のような 構 成 になっています。このイヱトルゾキサュヱで<br />
は、ウェブアプヨクーサュヱをテシトするための 必 要 条 件 、すなわわち、テシト 実 施 範 囲 、テシト 成 功 の 原 理 、および、テシト 技 法<br />
について 述 べています。 第 3 章 では、<strong>OWASP</strong> のテシトの 枠 組 みを 紹 介 して、セフトウェア 開 発 ョイフコイキラ(SDLC'のさまざ<br />
まな 段 階 と 関 連連 させながら、テシト 技 法 やソシキを 説 明 します。 第 2 章 では、SQL イヱザェキサュヱのような 特牐 定 の 脆 弱 性 に 対<br />
し、ケード 検 証 (イヱシヘキサュヱ'や 侵 入 テシトを 用 いて、どのようにテシトを 実 施 すればよいのかを 記 述 しています。<br />
( 非 ) 安 全 性 の 計 測 : 安 全 ではないセフテウェアの 経 済 学<br />
セフトウェア 工 学婲 の 基 本 法 則 に、「 計 測 できないものは 管 理 できない」[Y1]というものがあります。スカャヨティのテシトも 遊 いは<br />
ありません。 残 念 ながら、 安 全 性 の 計 測 がとても 困 難 な 過遃 程 であることは、よく 知 られています。この 話 題 については、 専 門<br />
のオイド( 内 容 の 紹 介 は[Y2]を 参 照 'に 譲 り、このオイドでは 詳 細 に 記 述 しません。<br />
しかしながら、 強 調 したい 点 の 一 つは、 技 術 的 な 問 題 ( 例 えば、ある 脆 弱 性 がどれぐらい 流 行 しているか'と、これらの 問 題<br />
がどのようにセフトウェアの 経 済 性 に 影 響 を 与 えるかという、 二 つの 側 面 があるということです。ほとんどの 技 術 者 が、 少 なくと<br />
も 基 本 的 な 問 題 を 理 解 しており、 中 には 脆 弱 性 に 対 して 深 く 理 解 している 技 術 者 もいることが 分 かっています。ただし、 残<br />
念 ながら、ほとんどの 技 術 者 は 技 術 的 知 識 を 経 済 的 な 用 語 に 翻 訳 することができず、そのために、アプヨクーサュヱ 責 任 者<br />
(エーナー'の 事 業 における 脆 弱 性 のケシトを 数 値 化 することができません。これができるようにならないと、CIO が、スカャヨ<br />
ティ 投 資 に 対 して 正 確 な 損 益 を 把 握 し、それに 続 いて、セフトウェアスカャヨティのために 適遚 切 な 予 算 を 計 上 することはでき<br />
ないでしょう。<br />
安 全 でないセフトウェアのケシトを 見 積 ることは、は 非 常 に 困 難 な 作 業 かもしれませんが、 最 近 、この 分 野 でさまざまな 研 究<br />
が 行 わわれています。 例 えば、2002 年 4 月 に、 米 国 国 立 標 準 技 術 研 究 所 (NIST'は、 不 適遚 切 なセフトウェアテシトに 起 因 する、<br />
安 全 ではないセフトウェアが 米 国 経 済 に 与 えるケシトに 関 する 調 査 を 発 表 しました[Y3]。 興 味 深 いことに、テシト 環 境 が 改 善<br />
されれば、これらのケシト、1 年 間 で 約 220 億 ドラの3 分 の1が 節 減 できると 見 積 もっています。さらに 最 近 、 経 済 性 とスカャヨ<br />
ティの 関 連連 が、 学婲 界 の 研 究 者 によって 研 究 されました。これらの 研 究 についての 詳 細 情 報 は[Y2]をご 覧 ください。<br />
18
Change language