補足 (2005/12/17(土) PASSJアフタースクール 「セキュリティTIPS講座」 )
土曜日は、上のPASSJアフタースクールに参加してきた。
一番印象に残っているのは、講師の河端氏の言われた「セキュリティは開発者・管理者の責任」という言葉だ。SQLインジェクション、XSSといったアプリケーションの脆弱性を作り込んでいるのは、別にマイクロソフトではなく、僕らがアプリケーションに作り込んでいる。開発において例外処理を粗末に扱ったり、必要なエスケープ処理を起こった足り、しかるべき監査をシステムに対して行っていないといったことにより、作り込まれ、放置されているだけだ。システム、アプリケーションの設計段階でいかにセキュリティに配慮し、それを行うかが、「今」から大変重要なのだと思う。
セキュリティは開発者・管理者の責任
MS SQL Server / RDB
コメント
そうなんですね。
自分自身へのメッセージとして、しっかり取り組んでいきたいと思います。実質、納期、機能実装が優先ですものね。
現実にどのようにセキュリティ対策の優先順位が下がっていくのかを把握できると、どのように歯止めをかけられるかがわかりそう。