大垣さんにセキュリティについて質問してみた(暫定)

疑問として大垣さんの言われるセキュリティの定義とは何なのかそれが「わたし気になります!」 とりあえずTLに沿って並べています(文脈が読みやすいように少し並び替えているものもあります)。 場外でツイートしたものついても含める予定ですが現状入れていません。
1
前へ 1 2 次へ
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao セキュリティ対策の概念を理解して頂ければ解ると思います。2月号のSoftware Designを是非!ow.ly/IsEFQ @ockeghem

2015-02-04 17:06:55
リンク www.amazon.co.jp Amazon.co.jp: Software Design (ソフトウェア デザイン) 2015年 02月号 [雑誌]: 本 Amazon.co.jp: Software Design (ソフトウェア デザイン) 2015年 02月号 [雑誌]: 本
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao ブログなら既に書きましたがこちらを ow.ly/IsEP4 主従関係は思われているものと反対です。 @ockeghem

2015-02-04 17:08:35
リンク blog.ohgaki.net 標準と基本概念から学ぶ正しいセキュリティの基礎知識 | yohgaki's blog
結城まお @yukimao

@yohgaki @ockeghem この部分がほかの方との衝突する理由ではないかと思われます。

2015-02-04 17:11:09
Yasuo Ohgaki (大垣靖男) @yohgaki

ISO標準外を仕様とするなら、その方にとってはセキュリティ対策ではないです。開発者には絶対にお薦めしませんが。RT @yukimao: @ockeghem つまり仕様集に拠るので、セキュリティ対策ではないとも言えるしセキュリティ対策ともいえると解釈しましたが誤ってますか?

2015-02-04 16:15:06
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao もしSANS TOP 25を知らない場合、こちらをどうぞ ow.ly/IsBuQ 因みに日本語訳版は最も重要なセキュリティ対策の翻訳を省略してたので参考になりません。原文をぞうぞ。 @ockeghem

2015-02-04 16:32:12
リンク blog.ohgaki.net 開発者は必修、SANS TOP 25の怪物的なセキュリティ対策 | yohgaki's blog
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao エンジニア必須の概念 – 契約による設計と信頼境界線 blog.ohgaki.net/design-by-cont… こちらもどうぞ @ockeghem

2015-02-04 17:10:39
リンク blog.ohgaki.net エンジニア必須の概念 – 契約による設計と信頼境界線 | yohgaki's blog
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao ?最大のセキュリティ対策をセキュリティ対策として推奨するのはセキュリティ関係者の使命の一つでは?根本的な概念から勘違いされているのではまともなセキュリティ対策は望めません。むしろ、ISOで規格化されているのに異論を唱える方にいうべきでは? @ockeghem

2015-02-04 17:15:23
結城まお @yukimao

@yohgaki @ockeghem もっとも効果的と言う話です。入力バリデーションの必要性に異論はありません。

2015-02-04 17:18:22
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao 普通のアプリ仕様とは実装しなくても良いもの(may)です。セキュリティ仕様とは実装すべきもの(should)、しなければならないもの(must)です。この違いはわかりますよね? @ockeghem

2015-02-04 17:17:40
結城まお @yukimao

@yohgaki @ockeghem 私は実装しなくてもよい物は定義しません。

2015-02-04 17:20:18
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao BS7799がほとんどそのまま規格化されたISOは大人の事情(現実に実装していないアプリが山程ある=認証できない)も含めて曖昧な表現になっているのだと思います。 @ockeghem

2015-02-04 17:22:25
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao それなら尚更SANSの怪物的セキュリティ対策第一位をセキュリティ対策として実装することに問題はないと思います。いかがでしょうか? @ockeghem

2015-02-04 17:23:46
結城まお @yukimao

@yohgaki @ockeghem 実装するのに異論はありません。しかし、もっとも効果的という話でほかの対策と優劣はないと考えます。

2015-02-04 17:26:57
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao セキュリティの基本概念である境界防御を理解していれば、境界防御がセキュリティ対策であることに異論はでないハズなのですが。。。 @ockeghem

2015-02-04 17:25:19
結城まお @yukimao

@yohgaki @ockeghem 申し訳有りません、そこは不勉強で存じません。

2015-02-04 17:28:05
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao CWE/SANS TOP 25のMonster Mitigation 1のマトリックスを見てください。これでも不十分です。入力バリデーションが最高に良い点は「開発者/運用者が意図せず入れた脆弱性」からも防御できる点です。こういう物は少ないです @ockeghem

2015-02-04 17:29:24
結城まお @yukimao

@yohgaki @ockeghem 効果的であることに異論はありません。

2015-02-04 17:33:49
結城まお @yukimao

@yohgaki @ockeghem 大垣さん長い時間お付き合い頂きありがとうございました。セキュリティ対策という用語に認識の違いがありますがおおむね理解いたしました。 徳丸さん不要なリプ失礼しました。

2015-02-04 17:57:17
Yasuo Ohgaki (大垣靖男) @yohgaki

@yukimao いえいえ。特にこだわりがなければ、 ow.ly/IsOor で紹介しているセキュリティの定義をお薦めします。既に紹介済みのリンクです。

2015-02-04 18:17:25
リンク blog.ohgaki.net 標準と基本概念から学ぶ正しいセキュリティの基礎知識 | yohgaki's blog
Yasuo Ohgaki (大垣靖男) @yohgaki

ニュートン力学(サブセット)から卒業しましょう / “ニュートン力学と相対性理論 – エンジニアに見られるセキュリティ対策理解の壁 | yohgaki's blog” htn.to/tpuaYf

2015-02-05 13:21:10
前へ 1 2 次へ

いま話題のタグ

平安時代180 イジメ212 タヌキ108 ドイツ1007 クマ206 新人157 宇宙食6 鈴木亮平42 ダンジョン飯128 インバウンド61 声優4008 ポケモン1922 お金674 アメコミ398 離婚364