「開発段階からのセキュリティ実装」は本当にコスト削減につながるのか:三輪信雄「ここが変だよみんなの対策」(情報元のブックマーク数)
セキュリティは後の工程で考えるほど、工数は増大、って常識、これをなかなか理解してもらえないんですよねぇ>現場
会社の標準があるとか、ライブラリはこれを使わないといけないとかで、改善がされないことが多々・・・ライブラリ化されるとなかなか変更されなかったり・・・悩ましい。
セキュリティ専門家の間では、「セキュリティを後の工程でやるほどコストは著しく増大する」という考え方は常識と言ってもいいでしょう。反対に言うと、「開発段階からセキュリティを実装することによって、セキュリティ対策コストは最小限に抑えることができる」と考えることができます。実際にセキュアプログラミングの研修はそれなりに活況となっているようです。
「開発段階からのセキュリティ実装」は本当にコスト削減につながるのか | 日経 xTECH(クロステック)
ところが、私が関わることの多いSQLインジェクションなどによる情報漏えいの現場においては、「それなりにセキュリティには気をつけて開発していた」というケースが少なくありません。中には「全くセキュリティ対策を施した開発を行っていませんでした」というケースもありますが、最近では「全く考慮していない」というケースはあまり見かけなくなりました。
100%は無理としても、80%でもやったほうがましです。パーセンテージは信じるしかないってのは確か、事前に検査を入れてもらえればいいのですが・・・
実際の開発の現場では、安全なプログラミング手順書の整備とセキュアプログラミング教育などが行われていますが、それだけであれば本当に安全にコーディングされているかがわからないという問題があります。従って、前述したセキュアプログラミングの問題点にはさらに以下の問題があることが分かります。
「開発段階からのセキュリティ実装」は本当にコスト削減につながるのか | 日経 xTECH(クロステック)
・小さな会社が主張しても受け入れられない。
・大きな会社が信用される。
・セキュリティ強化を開発費用に加算できない。
安全かどうかを確かめる手段がない以上、「信じるしかない」ということになるのです。もっと言えば「マシにはなっているだろう」程度でしか効果を表せないのです。
ですです、効果測定されないと、その分評価もされない。時間通り工数削減と、セキュアで工数増加、どっちが評価されるか・・・
具体的な効果を表すことが困難な上に、セキュア開発の努力と結果には相関関係がないのです。とても質の悪い開発部隊ではセキュアプログラミングの徹底には相当な時間と努力、すなわちコストが必要であるのに対して、優秀な少数精鋭部隊では当たり前のこととしてコストもかけずに実行できてしまうのです。これは極めてアンフェアーです。
「開発段階からのセキュリティ実装」は本当にコスト削減につながるのか(2ページ目) | 日経 xTECH(クロステック)
これまでもプログラマの生産性とコストに相関関係がないことが問題として議論されてきましたが、さらに安全性というセキュリティ品質に関しても優秀なプログラマが評価されないということなのです。
まずは、官公庁とか一部でもやると、変わるんでしょうかね。
そうした過程を経て、初めて「セキュリティ品質確保にかかるコスト」を見積書に反映できるようになるのです。そうすることにより、小さな会社であっても優秀なコーディングを行いセキュリティ品質が高ければ高い単価で仕事が請け負えるようになるのです。
「開発段階からのセキュリティ実装」は本当にコスト削減につながるのか(2ページ目) | 日経 xTECH(クロステック)