質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.35%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

Q&A

解決済

3回答

720閲覧

ウェブアプリケーションにおけるセキュリティの証明や信頼について

退会済みユーザー

退会済みユーザー

総合スコア0

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Webサイト

一つのドメイン上に存在するWebページの集合体をWebサイトと呼びます。

0グッド

2クリップ

投稿2020/10/21 15:22

ウェブアプリケーションにおけるセキュリティについてお聞きしたいことがあります。

質問に関しては顧客にあるウェブアプリケーションを作成し、実際に導入するかの話において「じゃあそのセキュリティ面では大丈夫なの?」などと聞かれたと想定します。その際、もちろんセキュリティ面に考慮はしていますし、今回の例でも考慮していることと想定します。しかし、セキュリティにおいて絶対の対策などはないと思っています。そこで、技術的なことがわからない人に説明する際にじゃあそのセキュリティ面では大丈夫なの?」と質問された際はどの様に証明や信頼を得ていくのでしょうか?

私が考えたこととしては、例えばパスワードはハッシュ化しており、安全に保護しているだとか何かのツールにおいてセキュリティ対策ができているか判定してもらうなどがあると思います。ただ、実際にセキュリティ面で問題ないのか質問されても、実際にどの様なことを想定して質問されているのかも分からずあまり説得や信頼していただけないと思います。考慮し、上記の様な質問をされた際はどの様な観点等から回答を行っていきますでしょうか?

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答3

0

ベストアンサー

ごく一般論として、「セキュリティ大丈夫?」と聞かれて、コードレベルの話で終始してしまう会社は、問題を抱えています。

適切なセキュリティレベルを担保するには、構造的なチェック体制を作る必要があり、各社ではそれらを管理する責任者を置いて常に体制をアップデートしています。

まず、土台がどうなっているかを説明してください。

例えば、以下のような資料があります。
情報セキュリティ管理基準

これは主に内部統制に対しての資料ですが、自社がどのような基準で管理体制を作り、その中で要件定義やコーディング、運用体制をチェックする機能を構築をしているかを説明する「チェックポイント資料」としては、非常に参考になる資料です。

そのうえで、該当する案件のセキュリティ要件とセキュリティ設計を提示してあげると良いです。
*提案時ならどういったプロセスで要件と設計を行うかの説明かなぁ。。。

要件が適切に提示できるという事は、脅威分析を適切に行っていることの証左になるので、顧客側も安心できます。
またその実装において、どのような選択肢があり、その選択肢をどう判断して設計に落とし込んだかが分かればさらに安心できます。

顧客側からどのような基準でみられるかは、以下の資料が良い参考になります。
政府機関等の情報セキュリティ対策のための統一基準

で、最後にコードレベルのセキュリティですが、
・レビュー体制
・テスト一覧
あたりが、担保背景になるかと。

レビューやテストをどういった基準で設定しているかが分かれば、安全性を判断しやすいです。
この辺はノウハウとして各社に大きく差が出るポイントでもあるので、適当なことを言っているとすぐに見破られちゃう箇所ですね^^;

投稿2020/10/21 23:37

退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

身内が相手の場合は資料を用意するなり理解に必要な知識を植え付けるなりしてレベル上げさせてから頑張って説明してください。

以下は対象が身内でない場合についての回答です。また、二次受け三次受けなどの場合を除きます。

わからない人に説明する

実際にどの様なことを想定して質問されているのかも分からずあまり説得や信頼していただけないと思います

当然分からない人に説明するのは無理です
なので

私が考えたこととしては、例えばパスワードはハッシュ化しており、

こんな説明も無駄です

考慮し、上記の様な質問をされた際はどの様な観点等から回答を行っていきますでしょうか?

金払いの悪い顧客に対してなら質問者の言う通り説明して終わり(※契約内容次第)だし、金払いの良い顧客に対してなら第三者機関に脆弱性診断をしてもらって結果を提示するという対応でしょうね
と言っても金払いの良い顧客なら大抵は顧客側が普段から利用している第三者機関にチェックを依頼すると思いますけど

何かのツール

OWASP ZAPというものがあるけど、それを使ったところで顧客側がOWASP ZAPを理解してなきゃ何の説得力も持ちません。でも何となく信頼出来そうなツールの結果が大丈夫そうだから大丈夫かもと謎の納得をする事もあるでしょう。

結局のところ分からない人が納得するのは第三者機関による証明です。
だから企業はPマークとかISOxxxxxとかを取るわけですが。

投稿2020/10/21 15:55

hentaiman

総合スコア6426

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2020/10/21 23:53 編集

逆にどのレベルや内容で「セキュリティ」と言っているのか、その顧客と基準を摺合せしておく必要もありそうですね。このご時世でも言葉だけ言ってるだけの顧客は多いと思いますし
hentaiman

2020/10/23 10:26

> のご時世でも言葉だけ言ってるだけの顧客は多いと思いますし ほとんどの人は責任転嫁(いざという時に無責任に発注者が逃げる為)だけが目的のクソみたいな発言ですからね OWASP ZAPでも他の方法でも、その対応費用を払わないならやる義理ないですしね、金払ってまでやる意味があると思えない顧客に対してはやる必要無し。 ※当然付き合いの長さ契約内容等を含めて考慮し、格安とか一部無償で対応してあげたりはその人の裁量で
guest

0

https://www.ipa.go.jp/security/vuln/websecurity.html

こういうチェックリストを活用すると良いと思います。ちなみに情報処理安全確保支援士に登録している人が周りにいるなら、その人に相談するのも一考だと思います。

投稿2020/10/21 22:29

YouheiSakurai

総合スコア6142

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

m.ts10806

2020/10/21 23:20

+1 私も実際にこのIPAのチェックリストが成果物の1つだったこともあります。 やっていない、できていないことは理由も記載する必要がありましたが。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.35%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問