セキュアなアプリケーション
本日、夏休みから復帰です。いきなり関東は台風です。
復帰の話題は、セキュリティです。
マイクロソフトは、今後、ネットワーク レベルのセキュリティに加えて、アプリケーション レベルのセキュリティを強化していきます。
アプリケーション レベルのセキュリティとは、セキュアなアプリケーションの書き方ということになります。
米国のある調査会社の最近の調査結果によると、75%のハッキングは、アプリケーション レベルで発生しているということです。
日本でも、最近バッファー オーバーフロー、SQLインジェクションなどが社会的な問題になっていますが、これらはまさにアプリケーションのセキュリティの脆弱性から発生しています。
それでは、”弊社が強化する”といって具体的に何をするかというと、今まだ取り組んできた製品そのものセキュリティに加え、”Writing Secure Code”のための技術情報、トレーニング、ツールを、幅広く提供していきます。ツールの一部は、Visual Studio 2005に搭載されているので、ご存知の方も多いと思います。
加えて、マイクロソフトは、自社の製品をセキュアにするために、深い経験をもっており(たぶん一番だと思います)、その知識・プロセスを皆様と共有していきます。
共有するのはhttp://www.microsoft.com/japan/msdn/security/general/sdl.asp がそれで、セキュリティ開発ライフサイクル(Security Development Lifecycle:SDL)と呼びます。
ちなみに、SDLを使って開発された初めての製品はWindows Server 2003で、それ以降の製品すべてにおいて各開発グループは必ずこのプロセスを使っています。Windows Server 2003の脆弱性が劇的に少なくなったのは、このSDL採用のおかげです。
また、マイクロソフトの社内の業務システムで採用しているSDL-ITというプロセスもあり、システム インテグレータの方にはこちらも有効ではないかと考え、共有の手段を検討しています。
アプリケーション レベルのセキュリティについては、上記のホワイトや、下記の技術書、資料が参考になります。
http://bpstore.nikkeibp.co.jp/item/main/148910044600.html
http://www.microsoft.com/japan/msdn/library/?frame=true
セミナーなどは準備中なので、少しお待ちください。何事も準備は大変です。
