大垣さんにセキュリティについて質問してみた(暫定)
-
- いいね!1
結城まお
@yukimao
.@yohgaki @ockeghem TLで話を追わせて頂きました。大垣さんへ質問なのですが「仕様として」入力バリデーションを行うことはあると思います。その仕様を実装した場合もセキュリティ対策と呼ぶのでしょうか?
2015-02-04 16:05:22
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao セキュリティ対策は基本的には仕様集です。セキュリティの概念については ow.ly/IszxZ を参照してください。 @ockeghem
2015-02-04 16:08:36
結城まお
@yukimao
@yohgaki @ockeghem つまり仕様集に拠るので、セキュリティ対策ではないとも言えるしセキュリティ対策ともいえると解釈しましたが誤ってますか?
2015-02-04 16:12:51
結城まお
@yukimao
@yohgaki @ockeghem ISO標準とはISO27000とISO13335のことでしょうか?両方とも情報セキュリティ管理の標準規格です。その中ではそれにあわせた独自の運用基準を定めるとあるのでどちらとも取れると思われますがいかがでしょう?
2015-02-04 16:18:56
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao ISOで求められているような基本対策は「当たり前の対策」と司法では判断されるでしょう。恐らく。契約の瑕疵担保条項が無効になる可能性があります。危なすぎて絶対にお薦めできません。 @ockeghem
2015-02-04 16:19:20
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao ISO 13335はオブソリートです。基本的にはISO 27000を参照してください。13335は概念や組織論に重点を置いているので今でも参考になりますが。 @ockeghem
2015-02-04 16:20:50
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao 勿論です。新しいOECD勧告が反映されて13335の要素が反映されています。例えば、セキュリティの基本要素にaccountabilityなど。基本的には今有効な規格を優先すべきなのは当然です。 @ockeghem
2015-02-04 16:24:49
結城まお
@yukimao
@yohgaki @ockeghem ISO27000シリーズは組織で以下に情報を保護するかを定め約するものでそれをソフトウェアに当てはめるのは無理があると思います。規格中でも「~することが望ましい」という甘い記述のためこれを標準といわれるのはどうかなと思います。
2015-02-04 16:33:29
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao ISO標準をご存知ならPCIDSSもですよね?PCIDSSではセキュリティベストプラクティスを採用するよう求めています。CWE/SANS TOP 25も含みます。 @ockeghem
2015-02-04 16:29:29
結城まお
@yukimao
@yohgaki @ockeghem 概要は存じています。しかし、これがセキュリティ対策としてこれが効果的という話でこれがセキュリティ対策のすべてという話ではないと感じております。
2015-02-04 16:37:50
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao ow.ly/IsC5w よくISOを読まれていないようです。今日のブログを参照してください。開発指針も具体的に書かれています。 @ockeghem
2015-02-04 16:39:10
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao セキュリティ対策規格が全てではありません。規格は当たり前で、それ以外に多数のセキュリティ対策があります。ISMS認証企業なら絶対的な基準です。 @ockeghem
2015-02-04 16:42:23
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao 正当な理由なく望ましいセキュリティ対策をしなかったら認証はとれませんが。望ましいセキュリティ対策はセキュリティ対策ではない、と議論されたいのでしょうか? @ockeghem
2015-02-04 16:43:40
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao 私のクライアントでなければ、説得して考えを変えてもらう必要はないので、独自に「入力バリデーションはセキュリティ対策ではない」と定義されても私はクレームは付けません。「入力バリデーションはセキュリティ対策ではない」は一般論だ、なら別です。 @ockeghem
2015-02-04 16:47:30
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao 質問ですが、権威あるSANS TOP 25の最大のセキュリティ対策である入力バリデーションをセキュリティ対策ではない、とも解釈できるとする考えはどこから来ているのでしょうか? @ockeghem
2015-02-04 16:50:46
結城まお
@yukimao
@yohgaki @ockeghem 私は入力バリデーションはセキュリティ対策ではないとはいいません。仕様を実装した形が入力バリデーションになりセキュリティ対策となるといいたいのです。セキュリティ対策が主ではなく従の関係になるのではないでしょうか?といいたいのです。
2015-02-04 17:02:58
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao ISO、SANS、OWASP、NISTなどセキュリティで権威がある文書で「入力バリデーションはセキュリティ対策ではない」と書かれたものを見た事がありません。反対の物ばかりです。なのでどこからその考えが来ているのか?教えてください。 @ockeghem
2015-02-04 16:55:27
結城まお
@yukimao
@yohgaki @ockeghem バリデーションを行うことは対策として有効とは思います。しかし、実装時にはセキュリティ対策としてではなく仕様として実装することがほとんどではないかと思いまして、最初のツイートになりました。
2015-02-04 16:58:37
Yasuo Ohgaki (大垣靖男)
@yohgaki
@yukimao そもそもセキュリティ対策は安全の為に必要な仕様をさまざまなモノに実装/実行することを求める物です。ISOもそうなっています。なので実装時に仕様として、と区別することに意味はないです。 @ockeghem
2015-02-04 17:05:05