前回は、Webアプリケーション開発の発注者側と受注者側(開発会社)双方に求められる責任について解説しました。今回は、セキュリティ対策が不足する理由や、なぜ安全ではないWebアプリケーションが出来てしまうのかについて解説します。
Webアプリケーションのセキュリティ対策が不足する理由としては、「設計者、開発者にセキュリティ対策に関する知識が乏しい」ことが真っ先に挙げられます。こうした状況は、発注者と開発会社の双方が、安全なWebアプリケーションを作ることをシステム開発における優先度の高い課題として考えなければ、改善できません。少なくとも、パフォーマンスや信頼性と同等のレベルで重視すべきです。
Webアプリケーションの脆弱性を突いた攻撃手法は、巧妙化・複雑化してきています。攻撃を助長するようなツールが流布されているため、簡単に攻撃を試みることもできます。攻撃からシステムを守るには、要件定義・設計などの上流工程から品質としてのセキュリティを作りこんでおく必要があります。
Webアプリケーションが利用するミドルウエアやコンポーネントなどのソフトウエアについても注意が必要です。新たな脆弱性が発見された場合、速やかにパッチを適用できるような状態にしておかなければなりません。
スケジュールが短く余裕がない
世間ではWebアプリケーションの脆弱性を突いた攻撃が相次いでいますが、なぜ、安全でないWebアプリケーションができてしまうのでしょうか?原因はいろいろ考えられますが、実際にWebアプリケーションの開発に携わっている方に話を聞くと、以下のような回答が返ってきます。
