第2回■ぜい弱性対策の考え方 -- そのアプリケーション,何年使う予定ですか:ITpro(情報元のブックマーク数)
徳丸さんの記事きました。
図でわかりやすいですねぇ。全体を鳥瞰してみないといけないですよ!ってやつです。
ぜい弱性対策を検討するうえでは,図1や図2に示すようなWebアプリケーションの構成に添った形で考える方が分かりやすい。このうち,まず最初に考えなければならないのがOSやミドルウエアといった「基盤ソフトウエア」部分である。ここがセキュアな状態でなければ,Webサイト全体のセキュリティは確保できない。
第2回■ぜい弱性対策の考え方 -- そのアプリケーション,何年使う予定ですか | 日経 xTECH(クロステック)
セキュアな状態と一口に言っても,考えなければならないことはいくつもある。(1)ソフトウエアにぜい弱性がないこと,(2)新たなぜい弱性が見付かった場合に即座に対応できること,(3)設定を安全にしておくこと,といった具合だ。(1)は最新版の製品を導入すれば,多くの場合は問題はない。重要なのは(2)だ。これは製品の選定にかかわる項目で,開発プロジェクトの最上流工程で考慮しておかなければならない。
ソフトウエアライフサイクルと、サポートライフサイクルをきちんと事前に考えましょう。
基盤ソフトウエアを選定するセキュリティ上のポイントは,その基盤ソフトウエアのセキュリティ・アップデートが提供され続けるかどうかである。このため,開発するアプリケーションの使用期間を想定しておく必要がある。例えば,2013年末まで使用する予定のアプリケーションであれば,アプリケーションが利用する基盤ソフトウエアについてもセキュリティ・アップデートが2013年までは提供されなければ,Webサイトのセキュリティ対策が継続できないことになる。
第2回■ぜい弱性対策の考え方 -- そのアプリケーション,何年使う予定ですか | 日経 xTECH(クロステック)
MS太っ腹!
ここから分かるように,マイクロソフトのポリシーによれば,最新バージョンを採用している限り最短でも7年はセキュリティ・アップデートの提供を受けることができる。一般にソフトウエアは会計上・税務上5年程度で償却しているが,新しいバージョンの習熟期間や開発期間などを考慮すると,この「7年」は十分に余裕のある期間とは言い切れない。それでも他社のポリシーと比較すると,マイクロソフトのサポート期間は長い方に属するようだ。
第2回■ぜい弱性対策の考え方 -- そのアプリケーション,何年使う予定ですか | 日経 xTECH(クロステック)
OSS製品だと本当にサポートとか色々大変だったり。そこも含めて商売として考えちゃうってのも手だけど・・・
ただ,8年にもわたってサポートが保証されている製品は決して多くない。むしろ4〜5年と比較的短かったり,サポート・ライフサイクル・ポリシー自体が明示されてない製品の方が多い。十分なサポート期間が保証されない場合は,次回に述べるオープンソース・ソフトウエアと同様の考え方により,保守方針を決めることになる。
第2回■ぜい弱性対策の考え方 -- そのアプリケーション,何年使う予定ですか | 日経 xTECH(クロステック)
