セキュア開発にも仕分けが必要だ - ockeghem(徳丸浩)の日記(情報元のブックマーク数)
徳丸さんによるセキュア開発にも仕分けの必要性という内容で、12月3日、4日に東京にて開催とのこと。
現場目線で発表されるので、好評なんですよねぇ。>d:id:ockeghem:detail++!
このテーマが繰り返し追求するにふさわしい重要なテーマであると考えていることからです。
その重要なテーマとは、以下に要約されるものだと考えています。
- セキュア開発にはコストが掛かるといわれるが、それは本当か
- 上が本当なら、コストが掛かる本当の要因は何か
- セキュア開発には、どの程度余計にコストが掛かるのが妥当か
よく、「ガチガチにセキュアにしたいんだけど、それだと途方もなくコストが掛かるから」などという言葉を耳にするのですが、私がひねくれているせいか、「それはガチガチの中身が間違っているからではないですか?余分なことをガチガチの名の下にやってませんか?」と感じてしまいます。
セキュア開発にも仕分けが必要だ - ockeghem's blog
私がそう思うには一応の根拠があります。セキュリティ検査をしていると、「なぜこんな変なことしているんだろう。使いにくいし、検査もしにくい。その分安全になっているとも思えない」というサイトを見かけます。安全にしようという意識が空回りして、素人考えで、余計なことまでしているのではないのかと思うのです。
というわけで、最近の流行語を使わせて頂くならば、「セキュア開発にも仕分けが必要だ」